Passordverktøy Tilbake til generator

Sikkerhetsveiledning

Hva er tid for å knekke passord?

Lær hva estimater for tid for å knekke passord betyr, hvorfor antakelser om angrepshastighet er viktige, og hvorfor estimater ikke er garantier.

Sammendrag

Tid for å knekke passord er et estimat på hvor lang tid et gjetningsangrep kan ta under en spesifikk modell. Modellen har betydning. Online gjetning mot en live tjeneste er forskjellig fra offline knekking av en lekket passordhash. Et universelt «tid til å knekke»-tall er misvisende uten antakelser.

Bruk kalkulatoren for tid for å knekke passord og styrkesjekkeren for å sammenligne scenarier lokalt.

Online gjetning

Online gjetning begrenses av tjenesten. Hastighetsbegrensninger, utestengelser, overvåking, MFA og anomalideteksjon kan bremse eller stoppe angrep. En kort PIN-kode kan være akseptabel bare fordi systemet begrenser forsøk.

Offline knekking

Offline knekking skjer når angripere har passordhasher eller kryptert materiale. Hastigheten avhenger av hash-algoritmen, kostnadsfaktoren, saltet, maskinvaren og angrepsstrategien. Langsom passordhashing som Argon2id, bcrypt eller PBKDF2 er ment å redusere gjetninger per sekund.

Tilfeldighet og mønstre

Matematikken bak knekketid er meningsfull bare når passordet faktisk er tilfeldig. Password123! kan se komplekst ut, men det dukker opp tidlig i mønsterbasert gjetning. Et tilfeldig passord på 20 tegn er annerledes fordi det mangler menneskelig struktur.

Detaljert veiledning

Denne veiledningen fokuserer på å lese estimater for tid for å knekke passord på en ansvarlig måte. Den er skrevet for brukere som ser årsbaserte estimater og vil vite hva de egentlig betyr, så det praktiske målet er ikke å skape en dramatisk sikkerhetspåstand. Målet er å velge en passordvane som kan overleve daglig bruk: innloggingsskjemaer, passordbehandlere, mobile tastaturer, kontogjenoppretting, delte enheter og den sporadiske tjenesten med rare valideringsregler. En sikker anbefaling er bare nyttig hvis en ekte person kan følge den konsekvent.

Det sikreste utgangspunktet er tilfeldighet pluss unikhet. Tilfeldighet betyr at verdien er valgt fra et stort rom av en kryptografisk egnet tilfeldig kilde, ikke oppfunnet fra en bursdag, et kjæledyrnavn, et tastaturmønster eller et favorittsitat. Unikhet betyr at samme passord ikke brukes andre steder. Et passord som er langt, men gjenbrukt, kan mislykkes raskt etter ett urelatert datainnbrudd, mens et unikt tilfeldig passord begrenser skaden til den ene kontoen der det ble brukt.

For dette emnet er en praktisk forhåndsinnstilling scenario-baserte estimater for online begrensninger, langsomme hasher og rask offline gjetning. Du kan bruke den forhåndsinnstillingen med kalkulatoren for tid for å knekke passord og deretter lagre den endelige verdien i en pålitelig passordbehandler. PwdGen genererer verdier lokalt i nettleseren med Web Crypto; det genererte passordet sendes ikke til en PwdGen-server. Det lokale designet reduserer eksponering på serversiden, men det beskytter ikke mot alle trusler. En ondsinnet nettleserutvidelse, en kompromittert enhet, en phishing-side eller utrygg håndtering av utklippstavlen kan fortsatt eksponere en hemmelighet etter at den er generert.

De vanligste problemene å unngå er universelle påstander om knekketid, maskinvare-only antakelser, lekkede hasher, svak lagring og forutsigbare brukermønstre. Disse problemene betyr noe fordi angripere sjelden trenger å brute-force alle mulige passord når menneskelige vaner gir dem en snarvei. Credential stuffing, phishing, lekkede passordlister og misbruk av kontogjenoppretting er ofte mer realistiske enn et rent matematisk søk. Derfor kombinerer den beste rådgivningen passordkvalitet med kontonivåkontroller som MFA, passnøkler, lagring av gjenopprettingskoder og regelmessig gjennomgang av gjenopprettings-e-post eller telefoninnstillinger.

Bruk denne sjekklisten når du anvender anbefalingen:

Hvis et nettsted avviser den ideelle innstillingen, ikke tving passordet inn i et svakere mønster for hånd. Juster én variabel om gangen. Hvis symboler avvises, behold store bokstaver, små bokstaver og tall aktivert og øk lengden. Hvis en maksimal lengde er lav, bruk den største aksepterte lengden og sørg for at verdien er unik. Hvis et passord må leses høyt, skrives ut eller skrives på en TV- eller ruterskjerm, vurder å ekskludere forvirrende tegn og øke lengden for å kompensere for det mindre alfabetet.

Til slutt, husk grensen for passordråd. Et sterkt passord er ett lag med forsvar, ikke en garanti. Det kan ikke gjøre en phishing-side trygg, fikse skadelig programvare eller kompensere for en tjeneste som lagrer legitimasjon dårlig. Den nyttige vanen er kjedelig, men holdbar: generer en unik verdi, lagre den trygt, beskytt gjenopprettingsveien, og bytt den ut raskt hvis du mistenker eksponering.

Et trygt neste steg

Etter å ha lest denne veiledningen, gjør en liten kontorevisjon i stedet for å prøve å fikse alt på en gang. Velg kontoen som ville forårsake mest trøbbel hvis den ble overtatt, bekreft at passordet er unikt, og sjekk gjenopprettings-e-posten, gjenopprettingstelefonen, MFA-metoden og lagring av sikkerhetskopikoder. Hvis noen del av den kjeden er svak, forbedre den delen før du går videre til kontoer med lavere risiko. Denne rekkefølgen holder arbeidet overkommelig og beskytter kontoene som angripere mest sannsynlig vil bruke som et springbrett. For hva er tid for å knekke passord?, er det beste resultatet en repeterbar vane: generer lokalt, lagre nøye, og unngå gjenbruk.

Ofte stilte spørsmål

Hvorfor er kalkulatorer for knekketid uenige?

De bruker forskjellige antakelser om tilfeldighet, hash-type, maskinvare, online begrensninger og om passordet allerede er kjent fra lekkasjer.

Er offline knekking raskere enn online gjetning?

Vanligvis ja. Offline angripere kan prøve gjetninger uten hastighetsbegrensninger, mens online systemer kan begrense, utestenge og overvåke forsøk.

Bør jeg stole på et enkelt «millioner år»-resultat?

Behandle det som et estimat under oppgitte antakelser, ikke en garanti for sikkerhet.

Kilder