Säkerhetsguide

Hur långt bör ett lösenord vara?

Lär dig när du ska välja 12, 16, 20 eller 32 tecken och varför lösenordslängd, unikhet och lagring är viktigare än visuell komplexitet.

Sammanfattning

För de flesta moderna konton är 16 slumpmässiga tecken en stark praktisk baslinje. Använd 20 eller fler för viktiga personliga konton, e-post, bank, arbete eller admin. Använd 32 tecken när lösenordet lagras i en lösenordshanterare och skyddar högvärdig åtkomst.

Prova 16 teckens, 20 teckens eller 32 teckens generatorer.

Längdintervall

Korta lösenord är lättare att gissa eftersom det finns färre möjliga kombinationer. Sex till nio tecken är normalt för kort för kontosäkerhet. Tio till fjorton tecken kan accepteras av många tjänster, men bör inte behandlas som förstahandsval för viktiga konton.

Sexton slumpmässiga tecken är en bra standard när en lösenordshanterare lagrar värdet. Tjugo tecken ger extra marginal samtidigt som det är kompatibelt med många webbplatser. Trettiotvå tecken är användbart för adminpaneler, krypterade filer, databasuppgifter och lokala hemligheter.

Slumpmässig längd kontra mänsklig längd

Ett slumpmässigt 16-teckens lösenord skiljer sig mycket från en mänskligt skapad 16-teckens fras. Mänskliga val innehåller ofta ord, datum, namn och förutsägbara avslutningar. Angripare testar dessa mönster innan de försöker med blind brute force.

Praktiska rekommendationer

• Använd 16 tecken som normal baslinje.
• Använd 20–32 tecken för högvärdiga konton.
• Använd en lösenordsfras om memorerbarhet är viktigt.
• Använd förinställningar utan symboler eller utan tvetydiga tecken endast när kompatibilitet kräver det.
• Återanvänd aldrig ett lösenord bara för att det är långt.

Detaljerad vägledning

Denna guide fokuserar på att välja lösenordslängd för olika kontorisker. Den är skriven för läsare som jämför val av 12, 16, 20, 24 och 32 tecken, så det praktiska målet är inte att skapa ett dramatiskt säkerhetspåstående. Målet är att välja en lösenordsvana som kan överleva vardaglig användning: inloggningsformulär, lösenordshanterare, mobila tangentbord, kontorelaterad återställning, delade enheter och den enstaka tjänsten med konstiga valideringsregler. En säker rekommendation är bara användbar om en verklig person kan följa den konsekvent.

Den säkraste utgångspunkten är slumpmässighet plus unikhet. Slumpmässighet innebär att värdet väljs från ett stort utrymme av en kryptografiskt lämplig slumpkälla, inte uppfunnet från en födelsedag, ett husdjursnamn, ett tangentbordsmönster eller ett favoritcitat. Unikhet innebär att samma lösenord inte används någon annanstans. Ett lösenord som är långt men återanvänt kan misslyckas snabbt efter en orelaterad läcka, medan ett unikt slumpmässigt lösenord begränsar skadan till det enda konto där det användes.

För detta ämne är en praktisk förinställning 16 tecken för vanliga konton, 20 eller fler för viktiga konton och 32 för hemligheter som lagras snarare än skrivs in. Du kan tillämpa den förinställningen med 32 teckens lösenordsgenerator och sedan lagra slutvärdet i en betrodd lösenordshanterare. PwdGen genererar värden lokalt i webbläsaren med Web Crypto; det genererade lösenordet skickas inte till en PwdGen-server. Den lokala designen minskar exponering på serversidan, men skyddar inte mot alla hot. En skadlig webbläsartillägg, en komprometterad enhet, en nätfiskesida eller osäker klippbordshantering kan fortfarande exponera en hemlighet efter att den genererats.

De vanligaste problemen att undvika är korta slumpmässiga värden, maximala längdbegränsningar, äldre formulär och att anta att ett fast antal är säkert för alla system. Dessa problem spelar roll eftersom angripare sällan behöver brute-force vartenda möjligt lösenord när mänskliga vanor ger dem en genväg. Credential stuffing, nätfiske, läckta lösenordslistor och missbruk av kontorelaterad återställning är ofta mer realistiska än en ren matematisk sökning. Därför kombinerar den bästa rådgivningen lösenordskvalitet med kontonivåkontroller som MFA, passkeys, lagring av återställningskoder och regelbunden granskning av återställnings-e-post eller telefoninställningar.

Använd denna checklista när du tillämpar rekommendationen:

• Använd mer längd när symboler inte är tillåtna.
• Kontrollera destinations maximala längd innan du sparar.
• Undvik att förkorta lösenord för bekvämlighets skull.
• Använd lösenordsfraser när memorering är viktigt.

Om en webbplats avvisar den ideala inställningen, tvinga inte lösenordet in i ett svagare mönster för hand. Justera en variabel i taget. Om symboler avvisas, behåll versaler, gemener och siffror aktiverade och öka längden. Om en maximal längd är låg, använd den största accepterade längden och se till att värdet är unikt. Om ett lösenord måste läsas högt, skrivas ut eller skrivas på en tv- eller routerskärm, överväg att utesluta förvirrande tecken och öka längden för att kompensera för det mindre alfabetet.

Slutligen, kom ihåg gränsen för lösenordsrådgivning. Ett starkt lösenord är ett lager av försvar, inte en garanti. Det kan inte göra en nätfiskesida säker, åtgärda skadlig programvara eller kompensera för en tjänst som lagrar uppgifter dåligt. Den användbara vanan är tråkig men hållbar: generera ett unikt värde, lagra det säkert, skydda återställningsvägen och byt ut det snabbt om du misstänker exponering.

Vanliga frågor

Är 12 tecken tillräckligt?

Ett slumpmässigt 12-teckens lösenord kan vara användbart för kompatibilitet, men 16 eller fler är en bättre standard när tjänsten accepterar det.

När ska jag använda 20 eller 32 tecken?

Använd 20 eller fler för viktiga konton och 32 för admin-, krypterad fil- eller utvecklarhemlighetsarbetsflöden som lagras i en lösenordshanterare.

Kan ett lösenord vara för långt?

Vissa tjänster inför maximala längder eller avvisar symboler. Använd det längsta unika slumpmässiga värdet som destinationen accepterar.