Lösenordsverktyg Tillbaka till generatorn

Säkerhetsguide

Vad är lösenordsknäckningstid?

Lär dig vad uppskattningar av lösenordsknäckningstid innebär, varför antaganden om attackhastighet spelar roll och varför uppskattningar inte är garantier.

Sammanfattning

Lösenordsknäckningstid är en uppskattning av hur lång tid en gissningsattack kan ta under en specifik modell. Modellen spelar roll. Online-gissning mot en aktiv tjänst skiljer sig från offline-knäckning av en läckt lösenordshash. Ett universellt “tid att knäcka”-nummer är missvisande utan antaganden.

Använd lösenordsknäckningstidskalkylatorn och styrkekontrollen för att jämföra scenarier lokalt.

Online-gissning

Online-gissning begränsas av tjänsten. Hastighetsbegränsningar, utspärrning, övervakning, MFA och avvikelsedetektering kan sakta ner eller stoppa attacker. En kort PIN-kod kan vara acceptabel endast för att systemet begränsar försöken.

Offline-knäckning

Offline-knäckning sker när angripare har lösenordshashar eller krypterat material. Hastigheten beror på hash-algoritmen, kostnadsfaktorn, salt, hårdvara och attackstrategi. Långsam lösenordshashning som Argon2id, bcrypt eller PBKDF2 är avsedd att minska gissningar per sekund.

Slumpmässighet och mönster

Knäckningstidsmatematik är meningsfull endast när lösenordet faktiskt är slumpmässigt. Password123! kan se komplext ut, men det dyker upp tidigt i mönsterbaserad gissning. Ett slumpmässigt 20-teckens lösenord är annorlunda eftersom det saknar mänsklig struktur.

Detaljerad vägledning

Denna guide fokuserar på att läsa uppskattningar av lösenordsknäckningstid på ett ansvarsfullt sätt. Den är skriven för användare som ser årsbaserade uppskattningar och vill veta vad de egentligen betyder, så det praktiska målet är inte att skapa ett dramatiskt säkerhetspåstående. Målet är att välja en lösenordsvana som kan överleva vardaglig användning: inloggningsformulär, lösenordshanterare, mobila tangentbord, kontokontroll, delade enheter och den enstaka tjänsten med konstiga valideringsregler. En säker rekommendation är bara användbar om en verklig person kan följa den konsekvent.

Den säkraste utgångspunkten är slumpmässighet plus unikhet. Slumpmässighet innebär att värdet väljs från ett stort utrymme av en kryptografiskt lämplig slumpkälla, inte uppfunnet från en födelsedag, ett husdjursnamn, ett tangentbordsmönster eller ett favoritcitat. Unikhet innebär att samma lösenord inte används någon annanstans. Ett lösenord som är långt men återanvänt kan misslyckas snabbt efter en orelaterad läcka, medan ett unikt slumpmässigt lösenord begränsar skadan till det enda kontot där det användes.

För detta ämne är en praktisk förinställning scenariobaserade uppskattningar för online-begränsningar, långsamma hash och snabb offline-gissning. Du kan tillämpa den förinställningen med lösenordsknäckningstidskalkylatorn och sedan lagra slutvärdet i en betrodd lösenordshanterare. PwdGen genererar värden lokalt i webbläsaren med Web Crypto; det genererade lösenordet skickas inte till en PwdGen-server. Den lokala designen minskar exponering på serversidan, men den skyddar inte mot alla hot. En skadlig webbläsartillägg, en komprometterad enhet, en nätfiskesida eller osäker klippbordshantering kan fortfarande exponera en hemlighet efter att den genererats.

De vanligaste problemen att undvika är universella knäckningstidspåståenden, hårdvaruendast-antaganden, läckta hash, svag lagring och förutsägbara användarmönster. Dessa problem spelar roll eftersom angripare sällan behöver brute-force vartenda möjligt lösenord när mänskliga vanor ger dem en genväg. Credential stuffing, nätfiske, läckta lösenordslistor och kontokontrollmissbruk är ofta mer realistiska än en ren matematisk sökning. Det är därför den bästa rådgivningen kombinerar lösenordskvalitet med kontonivåkontroller som MFA, passkeys, lagring av återställningskoder och regelbunden granskning av återställnings-e-post eller telefoninställningar.

Använd denna checklista när du tillämpar rekommendationen:

Om en webbplats avvisar den ideala inställningen, tvinga inte lösenordet till ett svagare mönster för hand. Justera en variabel i taget. Om symboler avvisas, behåll versaler, gemener och siffror aktiverade och öka längden. Om en maximal längd är låg, använd den största accepterade längden och se till att värdet är unikt. Om ett lösenord måste läsas högt, skrivas ut eller skrivas på en TV- eller routerskärm, överväg att utesluta förvirrande tecken och öka längden för att kompensera för det mindre alfabetet.

Slutligen, kom ihåg gränsen för lösenordsråd. Ett starkt lösenord är ett lager av försvar, inte en garanti. Det kan inte göra en nätfiskesida säker, åtgärda skadlig programvara eller kompensera för en tjänst som lagrar inloggningsuppgifter dåligt. Den användbara vanan är tråkig men hållbar: generera ett unikt värde, lagra det säkert, skydda återställningsvägen och byt ut det snabbt om du misstänker exponering.

En säker nästa steg

Efter att ha läst denna guide, gör en liten kontokontroll istället för att försöka fixa allt på en gång. Välj det konto som skulle orsaka mest problem om det övertogs, bekräfta att dess lösenord är unikt och kontrollera återställnings-e-post, återställningstelefon, MFA-metod och lagring av säkerhetskopieringskoder. Om någon del av den kedjan är svag, förbättra den delen innan du går vidare till konton med lägre risk. Denna ordning håller arbetet hanterbart och skyddar de konton som angripare mest sannolikt använder som en språngbräda. För vad är lösenordsknäckningstid? är det bästa resultatet en repeterbar vana: generera lokalt, lagra noggrant och undvik återanvändning.

Vanliga frågor

Varför är knäckningstidskalkylatorer oense?

De använder olika antaganden om slumpmässighet, hashtyp, hårdvara, online-begränsningar och om lösenordet redan är känt från läckor.

Är offline-knäckning snabbare än online-gissning?

Vanligtvis ja. Offline-angripare kan prova gissningar utan hastighetsbegränsningar, medan online-system kan begränsa, spärra och övervaka försök.

Ska jag lita på ett enda “miljoner år”-resultat?

Behandla det som en uppskattning under angivna antaganden, inte en garanti för säkerhet.

Källor