Lösenordsverktyg Tillbaka till generatorn

Säkerhetsguide

Lösenordsentropi förklarat

Förstå lösenordsentropi, sökutrymme, alfabetstorlek, längd och varför teoretiska bitar endast är en övre gränsuppskattning.

Sammanfattning

Lösenordsentropi är ett sätt att beskriva storleken på det sökutrymme en angripare skulle behöva utforska. För ett enhetligt slumpmässigt lösenord är en användbar övre gränsformel:

bits = length × log2(alphabet size)

Använd lösenordsknäckningstidskalkylatorn för att jämföra antaganden.

Alfabetstorlek

Alfabetstorlek är antalet möjliga tecken. Gemener ger 26 alternativ. Versaler plus gemener ger 52. Att lägga till siffror ger 62. Symboler kan öka poolen ytterligare, men bara om tjänsten accepterar dem och generatorn väljer dem slumpmässigt.

Längd

Längd multiplicerar sökutrymmet. Ett längre slumpmässigt lösenord ger vanligtvis en större praktisk förbättring än ett kort lösenord dekorerat med förutsägbara symboler.

Varning om övre gräns

Formeln antar att varje position väljs enhetligt från alfabetet. Den gäller inte för mänskliga fraser, återanvända lösenord, ordboksord, datum, tangentbordsmönster, läckta uppgifter eller redigerad utdata. Den modellerar inte heller hashning på serversidan eller onlinehastighetsbegränsningar.

Praktiska rekommendationer

Detaljerad vägledning

Denna guide fokuserar på att tolka lösenordsentropi utan överdrift. Den är skriven för läsare som jämför längd, alfabetstorlek och lösenordsfraslistor, så det praktiska målet är inte att skapa ett dramatiskt säkerhetspåstående. Målet är att välja en lösenordsvana som kan överleva vardaglig användning: inloggningsformulär, lösenordshanterare, mobila tangentbord, kontoutvinning, delade enheter och den enstaka tjänsten med konstiga valideringsregler. En säker rekommendation är bara användbar om en verklig person kan följa den konsekvent.

Den säkraste utgångspunkten är slumpmässighet plus unikhet. Slumpmässighet innebär att värdet väljs från ett stort utrymme av en kryptografiskt lämplig slumpkälla, inte uppfunnet från en födelsedag, ett husdjursnamn, ett tangentbordsmönster eller ett favoritcitat. Unikhet innebär att samma lösenord inte används någon annanstans. Ett lösenord som är långt men återanvänt kan misslyckas snabbt efter en orelaterad läcka, medan ett unikt slumpmässigt lösenord begränsar skadan till det enda konto där det användes.

För detta ämne är en praktisk förinställning längd multiplicerat med log2 av det slumpmässiga alfabetets storlek för enhetligt slumpmässiga lösenord. Du kan tillämpa den förinställningen med lösenordsstyrkekontrollen och sedan lagra slutvärdet i en betrodd lösenordshanterare. PwdGen genererar värden lokalt i webbläsaren med Web Crypto; det genererade lösenordet skickas inte till en PwdGen-server. Den lokala designen minskar exponering på serversidan, men skyddar inte mot alla hot. En skadlig webbläsartillägg, en komprometterad enhet, en nätfiskesida eller osäker klippbordshantering kan fortfarande exponera en hemlighet efter att den genererats.

De vanligaste problemen att undvika är att tillämpa den enkla formeln på mänskligt valda lösenord, ignorera återanvändning och behandla uppskattningar som garantier. Dessa problem spelar roll eftersom angripare sällan behöver brute-force varje möjligt lösenord när mänskliga vanor ger dem en genväg. Credential stuffing, nätfiske, läckta lösenordslistor och missbruk av kontoutvinning är ofta mer realistiska än en ren matematisk sökning. Det är därför den bästa rådgivningen kombinerar lösenordskvalitet med kontonivåkontroller som MFA, lösenordsnycklar, lagring av återställningskoder och regelbunden granskning av återställnings-e-post eller telefoninställningar.

Använd denna checklista när du tillämpar rekommendationen:

Om en webbplats avvisar den ideala inställningen, tvinga inte lösenordet till ett svagare mönster för hand. Justera en variabel i taget. Om symboler avvisas, behåll versaler, gemener och siffror aktiverade och öka längden. Om en maximal längd är låg, använd den största accepterade längden och se till att värdet är unikt. Om ett lösenord måste läsas högt, skrivas ut eller skrivas på en TV- eller routerskärm, överväg att utesluta förvirrande tecken och öka längden för att kompensera för det mindre alfabetet.

Slutligen, kom ihåg gränsen för lösenordsråd. Ett starkt lösenord är ett lager av försvar, inte en garanti. Det kan inte göra en nätfiskesida säker, fixa skadlig programvara eller kompensera för en tjänst som lagrar uppgifter dåligt. Den användbara vanan är tråkig men hållbar: generera ett unikt värde, lagra det säkert, skydda återställningsvägen och byt ut det snabbt om du misstänker exponering.

Ett säkert nästa steg

Efter att ha läst denna guide, gör en liten kontogranskning istället för att försöka fixa allt på en gång. Välj det konto som skulle orsaka mest problem om det övertogs, bekräfta att dess lösenord är unikt och kontrollera återställnings-e-post, återställningstelefon, MFA-metod och lagring av säkerhetskopieringskoder. Om någon del av den kedjan är svag, förbättra den delen innan du går vidare till konton med lägre risk. Denna ordning håller arbetet hanterbart och skyddar de konton som angripare mest sannolikt använder som en språngbräda. För lösenordsentropi förklarat är det bästa resultatet en repeterbar vana: generera lokalt, lagra noggrant och undvik återanvändning.

Vanliga frågor

Vad är den enkla entropiformeln?

För enhetligt slumpmässiga tecken är en vanlig övre gränsformel längd multiplicerat med log2 av alfabetets storlek.

Varför är entropi bara en uppskattning?

Den antar enhetligt slumpmässigt val och tar inte hänsyn till återanvändning, läckor, mänskliga redigeringar, komprometterade enheter eller destinationslagring.

Ger symboler alltid mer entropi?

Symboler ökar alfabetets storlek när de väljs slumpmässigt, men att öka längden ger ofta en större och lättare att använda fördel.

Källor