Passordgenerator
Generer sterke, tilfeldige passord i ønsket lengde. Tilpass med store/små bokstaver, tall og spesialtegn. Gratis online passordgenerator for sikre resultater.
Passordets Entropi: Vitenskapen om Sterke Passord
Passordets styrke måles i bit av entropi — logaritmen (bas 2) av antall mulige passord. Mer entropi betyr et vanskeligere passord å krase. Forståelsen av entropi er nøkkelen til å lage passord som motstår både bruteforce-angrep og orddatabas-krakking.
Formel: Entropi = log₂(C^L) = L × log₂(C), hvor C = størrelse på karaktersett og L = passordlengde.
| Passordtype | Karaktersettstørrelse | Lengde | Entropi (bit) | Bruteforce-tid* |
|---|---|---|---|---|
| Kun små bokstaver (a–z) | 26 | 8 | 37,6 | Minutter til timer |
| Miksede store og små bokstaver | 52 | 8 | 45,6 | Timer til dager |
| Miksede store og små bokstaver + tall | 62 | 10 | 59,5 | Dager til måneder |
| Alle skrivbare ASCII-tegn | 94 | 12 | 78,7 | Tusener av år |
| Alle skrivbare ASCII-tegn | 94 | 16 | 104,8 | Effektivt uendelig |
| Alle skrivbare ASCII-tegn | 94 | 20 | 131,0 | Over universets død |
| 4-ord passord (7 776 ordliste) | 7 776 | 4 ord | 51,7 | Sammenlignbar med kompleks 8-bokstavs |
| 6-ord passord (7 776 ordliste) | 7 776 | 6 ord | 77,5 | Sammenlignbar med 12-bokstavs miks |
*Antar 100 milliarder gissinger per sekund med moderne GPU-hardware. Sikkerhetseksperter anbefaler minst 80 bit av entropi for generelle konti og 128+ bit for kritiske konti som epost-masternøkler, bank og krypteringsnøkler.
Karaktersett og hva de tilføyer til styrke
Å inkludere hver tilleggskarakterklasse multipliserer søkeområdet som en angriper må utforske. Her er hvordan hver karaktersett bidrar til passordets entropi:
| Karaktersett | Karakterer | Antall | Bit per karakter |
|---|---|---|---|
| Små bokstaver | a–z | 26 | 4,70 |
| Store bokstaver | A–Z | 26 | 4,70 |
| Tall | 0–9 | 10 | 3,32 |
| Vanlige symboler | !@#$%^&*()-_+= | 14 | 3,81 |
| Uvanlige symboler | []{}|;:',".<>?/`~ | 18 | 4,17 |
| Alle skrivbare ASCII-tegn kombinert | Alle ovennevnte | 94 | 6,55 |
Den mest innflytelsesrike oppgraderingen av et passord er å øke lengden. Å gå fra 12 til 16 bokstaver med fullt ASCII-sett tilføyer 4 × 6,55 = 26,2 tillegg bit av entropi — det er tilsvarende å multiplisere søkeområdet med om lag 80 millioner. Lengden er alltid viktigere enn kompleksiteten når begge ikke kan maksimeres samtidig.
Men å bruke alle karaktertyper sammen (store og små bokstaver, tall og symboler) på en gitt lengde maksimerer entropi per karakter. Et 12-bokstavs passord med kun små bokstaver har 56,4 bit av entropi; samme lengde med alle karaktertyper har 78,7 bit — en forbedring på 40 % uten å tilføye en eneste karakter.
Passordbestemmelser
Nåværende retningslinjer fra NIST (Special Publication 800-63B), sikkerhetsforskere og industrielle standarder har utviklet seg betydelig fra eldre anbefalinger. Her er de mest aktuelle bestemmelsene:
- Lengde over kompleksitet: Et 20-bokstavs tilfeldig passord er sterkere og mer minneverdig enn et 12-bokstavs symbol-tykt passord. NIST anbefaler minst 8 bokstaver, men sikkerhetsprofesjonere anbefaler sterkt 12–16 bokstaver for standardkonti og 20+ for kritiske konti.
- Unike passord per nettsted: Ca. 85 % av dataintrådte involverer kreditkort-stuffing — angripere tester utlekkede brukernavn/passord-kombinasjoner fra ett innbrudd mot andre tjenester. Hvert konto trenger et unikt passord.
- Brug en passordmanager: Verktøy som Bitwarden (gratis, åpen kildekode), 1Password, KeePass eller Dashlane genererer og lagrer unike passord trygt. Du trenger bare å huske en masterpassord. Passordmanagere er den eneste mest effektive oppgraderingen av personlig sikkerhet.
- Aktiver to-faktor-autentisering (2FA): Selv om et kompromittert passord blir vanskeligere å utnytte med 2FA. Bruk en autentiseringsapp (Google Authenticator, Authy eller en hardvarer-nyckel som YubiKey). Unngå SMS-basert 2FA når mulig, da det er utsatt for SIM-utvekslingsangrep.
- Kjekk om dine passord er i en kjent dataintrådte: Bruk haveibeenpwned.com for å sjekke om epost eller passord dine opptrer i kjente dataintrådte. Hvis et passord opptrer i en intrådte, endre det umiddelbart, selv om det ser sterk ut.
- Ikke rotere passord på en fast tidsplan: NISTs oppdaterte retningslinjer anbefaler å ikke tvangsføre periodiske passordendringer. Regelmessig rotasjon fører til forutsigbare endringer («Passord1» → «Passord2»). Endre passord bare når det er tegn på kompromittering.
Felles feil med passord og hvordan å unngå dem
Angripere bruker ordboksangrep (tester vanlige ord, navn og mønster) før de går over til bruteforce. Moderne passordkryssningsverktøy bruker avanserte regelsæt som forutsier vanlige menneskelige oppførsel. Unngå disse felles feilene:
| Feil | Eksempel | Hvorfor det er svakt | Better alternativ |
|---|---|---|---|
| Vanlige ord | passord, admin, velkommen | I hver enkelt krypteringsverktøys ordbok | Slumpmessige tegn eller passfrase |
| Personlig informasjon | john1985, fluffy123 | Lett å finne på sosiale medier | Ingen personlig data i passord |
| Tastaturmønster | qwerty, 123456, asdfgh | Blant de første mønsterene som tester | Fullt slumptegnvalg |
| Forutsigbare erstatteringer | p@ssw0rd, h3llo | Standard leet-speak-regler i alle krypteringsverktøy | Fullt slumptegnvalg |
| Korte passord | Alle under 8 tegn | Krakkbar i sekunder til minutter | Minimum 12 tegn |
| Å bruke samme passord | Samme passord på e-post og bank | Et enkelt brudd gir tilgang til alle konti | Unikt passord per tjeneste |
| Lite modifikasjoner | Summer2024 → Summer2025 | Angripere tester sekvensielle variasjoner | Fullstendig nytt slumptegnvalg |
| Å legge til tall til slutten | passord123 | Å legge til tall er en standardregel | Tall blandet inn i hele passordet |
De mest vanlige kryssete passord i verden (per bruddsdatabaseanalyser) er: 123456, passord, 123456789, qwerty, 12345678, 111111, 1234567890, 1234567, passord1, og qwerty123. Hvis ditt passord ligner noen av disse mønstrene, endre det umiddelbart.
Passfraser: Den minneverdige alternativet
Ett passfrase er en sekvens av tilfeldig valgte ord brukt som et passord. Passfraser er generelt lengre enn tradisjonelle passord, noe som gjør dem vanskeligere å krysse, mens de er betydelig lettere å huske. Konseptet ble popularisert av den berømte XKCD-komikken "correct horse battery staple."
| Passfrase-type | Eksempel | Entropi (bit) | Minneverdighet |
|---|---|---|---|
| 3 tilfeldige ord (7 776 liste) | blanket-topaz-furnace | 38,8 | Letthusk |
| 4 tilfeldige ord (7 776 liste) | correct-horse-battery-staple | 51,7 | God balanse |
| 5 tilfeldige ord (7 776 liste) | blanket-topaz-furnace-mango-cliff | 64,6 | Moderat anstrengelse |
| 6 tilfeldige ord (7 776 liste) | six-word-phrase-requires-more-effort | 77,5 | Hardere men håndterbar |
| 4 ord + tall + tegn | correct-Horse-battery7-staple! | ~65+ | God med variasjon |
Kritisk krav for passfrasens sikkerhet er at ordene må være tilfeldig valgt — ikke en meningfull frase, sitat, sangtekst eller setning du ville naturligvis si. "Jeg elsker min hund meget" er et dårlig passfrase fordi det er forutsigbart. "Blanket-topaz-furnace-mango" er utmerket fordi ordkombinasjonen er tilfeldig og uventet.
For å generere en passfrase, bruk Diceware-metoden: Rull fem terninger for å få en fem-sifret tall, så finn så ut det tilsvarende ordet i en Diceware-ordliste (som inneholder 7 776 ord). Gjenta for hver ord. Alternativt kan du bruke en passfrasegenerator i passordbehandlingsverktøyet ditt, som automatiserer denne prosessen trygt.
Passordbehandlingsverktøy: Ditt sikkerhetsnavn
Ett passordbehandlingsverktøy er et program som genererer, lagrer og automatisk fyller unike passord for hver av dine konti. Det er det mest anbefalte sikkerhetsverktøyet av alle store sikkerhetsorganisasjoner. Her er en sammenligning av de mest populære alternativene:
| Passordbehandlingsverktøy | Pris | Åpen kildekode | Plattformer | Spesiell funksjon |
|---|---|---|---|---|
| Bitwarden | Gratis (premium $10/år) | Ja | Alle plattformer + nettleser | Beste gratisalternativ; selv-huskbar |
| 1Password | $36/år | Nei | Alle plattformer + nettleser | Watchtower-bruddmonitoring |
| KeePass / KeePassXC | Gratis | Ja | Desktop (tverrplattform) | Loke lagring; ingen skybasert synkronisering |
| Dashlane | $60/år | Nei | Alle plattformer + nettleser | Bygget-in integrert VPN; mørk nettbruddmonitoring |
| Apple Keychain | Gratis | Nei | Apple-ekosystem bare | Smidig på iPhone, iPad, Mac |
| Google Passordbehandler | Gratis | Nei | Chrome + Android | Integret i Chrome- nettleser |
Når du velger et passordbehandlingsverktøy, prioriter: null-kunnskapskryptering (selskapet kan ikke lese dine passord), tverrplattformtilgjengelighet, sikker passordgenerering og bruddmonitoring. Ditt masterpassord — det eneste passordet du må huske — bør være et sterk passfrase på 5+ tilfeldige ord med minst 70 bit entropi.
Overgangen til et passordbehandlingsverktøy trenger ikke å skje på en gang. Start med å legge til dine mest kritiske konti (e-post, bank, sosiale medier) og gradvis legge til andre som du logger inn på. De fleste managerer kan importere passord fra nettlesere for å akselerere overgangen.
Metoder for to-faktor-autentisering sammenlignet
Et sterk passord gir bare en enkelt lags beskyttelse. To-faktor-autentisering legger til en ekstra lag som krever noe du har (en telefon eller en fysiske nøkkel) i tillegg til noe du kjenner (ditt passord).
| 2FA-metode | Sikkerhetsnivå | Bequemhet | Ulempe |
|---|---|---|---|
| Hardware-sikkerhetsnøkkel (YubiKey, Titan) | Høyest | Moderat — krever fysiske nøkkel | Virtuelt immun mot phishing |
| Autentiseringsapp (TOTP) | Høy | Høy — kode på din telefon | Utenom hvis telefonen er kompromittert |
| Push-oppfordring (Duo, MS Authenticator) | Høy | Mye høyere — trykk for å godkjenne | "MFA-fatigue"-angrep (gjentatte oppfordringer) |
| SMStekst | Moderat | Mye høyere — ingen app nødvendig | Sim-swapping, SS7-intersepsjon |
| Epostkode | Lav–Moderat | Høy | Epostkonto kompromittert |
| Spørsmål om sikkerhet | Lav | Høy | Svarene er ofte offentlig tilgjengelig |
For maksimal sikkerhet, bruk en hardware-sikkerhetsnøkkel (FIDO2/WebAuthn) for dine mest kritiske konti. For hverdagskonti, en autentiseringsapp som Google Authenticator, Authy eller Microsoft Authenticator gir en god balanse mellom sikkerhet og bequemhet. Enhver form for 2FA er dramatisk bedre enn autentisering kun med passord.
Hvordan passordknekking fungerer
For å forstå hvordan angripere kneker passord, hjelper det å forstå hvorfor tilfeldige, lange passord er viktig. Moderne passordknekking involverer flere teknikker, hver som utnytter forskjellige svakheter i passordvalg.
| Angreps-type | Hvordan det fungerer | Hastighet | Det som det definerer |
|---|---|---|---|
| Brute force | Prøver alle mulige kombinasjoner systematisk | Milliarder per sekund (GPU) | Korte passord av noen type |
| Orddatabasangrep | Prøver vanlige ord, navn og setninger | Millioner per sekund | Passord basert på virkelige ord |
| Regelbasert angrep | Appliser transformasjoner på orddatabasen (større bokstaver, legg til tall, leet-speak) | Millioner per sekund | Forutsigbare modifikasjoner som "P@ssw0rd" |
| Kredensial-stuffing | Prøver lekkede brukernavn/passord-par fra andre nettsteder | Thousand per sekund | Brukte passord på flere tjenester |
| Regnbuebord | Bruker forhåndsregnet hash-to-passord-søkebord | Nærmest-instant søk | Utsaltede passordhasher |
| Phishing | Bedrager brukeren til å innføre passord på en falsk side | N/A (sosiale ingeniører) | Passord uten 2FA |
Moderne GPU-kluster som kjører verktøy som Hashcat kan teste over 100 milliarder MD5-hasher per sekund, eller om lagringsenheten på cirka 10 milliarder bcrypt-hasher per sekund med spesialisert hardware. Dette er hvorfor passordlengde er så viktig — hver tilføyd karakter multipliserer tiden påkravet av størrelsen på karaktersettet. Et tilfeldig generert 16-tegnet passord som bruker alle skrivbare ASCII-tegn ville ta lengre enn alderen på universet å knække ved brute force, selv med den raskeste hardware som er tilgjengelig i dag. Likevel beskytter ingen passord av noen lengde mot phishing — som er hvorfor to-faktor-autentisering fortsatt er essensiell som et komplementært forsvarslag.
Ofte stilte spørsmål
Hvor langt bør en sikker passord være?
Minst 12–16 tegn for standardkontoer. For finansielle og kritiske konti (e-post, bank, passordmanager-mastepassord), bruke 20+ tegn eller en multiord-forklaring. Lengde er viktigere enn kompleksitet – en 20-tegn lågcase passord har mer usikkerhet enn et 10-tegn passord med tegn.
Er tilfeldige passord trygge å lagre?
Genererte passord skal lagres i en pålitelig passordmanager (Bitwarden, 1Password, KeePass), ikke i en tekstfil, nettleser-eneeste lagring eller skrevet på limmer. Passordmanagere krypterer dine vault med ditt mastepassord – selv om tjenesten blir kompromittert, forblir dine individuelle passord krypterte og trygge.
Hva gjør et passord lett å krase for datamaskiner?
Kort lengde, vanlige ord eller mønster, personlig informasjon og gjenbruk på ulike sider. Moderne GPU-er kan teste milliarder av passord per sekund. Et 8-tegn lågcase passord har bare 208 milliarder kombinasjoner – mulig å krase på timer. Et 16-tegn tilfeldig passord med alle tegntyper har om lag 10^31 kombinasjoner – umulig i århundrer selv med dedikert hårdvarer.
Er det trygt å bruke en forklaring i stedet for et komplekst passord?
Ja – forklinger bestående av 4 eller flere tilfeldig valgte ord (som "correct-horse-battery-staple") er meget trygge og betydelig mer minneverdig. En 4-ord forklaring fra en 7 776-ord Diceware liste har 51,7 bit usikkerhet; en 6-ord forklaring har 77,5 bit usikkerhet. Det viktigste er at ordene må være tilfeldig valgt, ikke en naturlig frase du ville si.
Bør jeg endre mine passord regelmessig?
Nåværende NIST-veiledning (SP 800-63B) sier at rutinepassord-forveldig er motproduktivt – det fører til forutsigelige endringer ("Passord1" → "Passord2") og svakere overordnet sikkerhet. Endre passord kun når det er tegn på kompromettering, som en databruddvarsling. Sterke, unike passord som ikke er blitt kompromittert, trenger ikke å bli rotert.
Hva er to-faktor-autentisering (2FA) og bør jeg bruke det?
To-faktor-autentisering krever en annen form for verifisering enn ditt passord – vanligvis en kode fra en autentiseringsapp eller en hårdvarer sikkerhetsnøkkel. Ja, du bør aktivere 2FA på alle konti som støtter det. Selv om ditt passord er kompromittert, kan ikke angriperen få tilgang til kontoret uten den andre faktoren. Autentiseringsappene er foretrukket over SMS-koder.
Hva fungerer passordmanagere?
Passordmanagere genererer og lagrer unike passord for hver av dine konti i et kryptert vault. Du låser vaultet med ett mastepassord. Manageren auto-fyller innloggingsformer så du aldri trenger å huske eller skrive inn individuelle passord. De fleste bruker null-kunnskapskryptering, noe som betyr at ikke selv tjenesteprovideren kan lese dine lagrede passord.
Hva skjer hvis min passordmanager blir kompromittert?
Pålitelige passordmanagere bruker null-kunnskapskryptering – dine passord er krypterte lokalt med ditt mastepassord før de lagres på deres servere. Selv om en serverbrudd skjer, får angriperne bare krypterte data de ikke kan lese uten ditt mastepassord. Dette er hvorfor et sterkt og unikt mastepassord (ideelt en 5+ ord forklaring) er essensielt. Den 2022 LastPass-bruddet demonstrerte dette: selv om krypterte vault ble stjålet, forble de krypterte vault med sterke mastepassord trygge.
Er det trygt å la nettleseren lagre passord?
Nettleser-lagrede passord er behagelige men mindre trygge enn dedikerte passordmanagere. Nettlesere lagrer passord med kryptering knyttet til din OS-konto, noe som betyr at noen med tilgang til din datamaskin-session kan se dem. Dedikerte passordmanagere tilbyr sterkere kryptering, tverrbrowser-støtte, sikker deling, bruddvarsling og auto-lock-funksjoner. For maksimal sikkerhet, bruk en dedikert passordmanager og deaktivere nettleser-lagring av passord.
Hva gjør jeg for å lage et sterkt mastepassord jeg kan huske?
Bruk Diceware-metoden: rull fem terninger for å få en fem-sifret tall, sjekk opp det tilsvarende ordet i en Diceware-ordliste og gjenta for 5–6 ord. Knyt dem sammen med bindestreker eller mellomrom. Eksempel: "blanket-topaz-furnace-mango-cliff" har om lag 64 bit usikkerhet og er relativt lett å huske gjennom visualisering. Praktiser å skrive det flere ganger over flere dager til det blir automatisk.