Passwordentropien Forklaret — Og Hvorfor Dit "Komplekse"Password Er Svagere End En Passphrase
Entropi er det eneste ærlige mål for passwordstyrke. Her er hvordan det beregnes, hvor lang tid angribere skal bruge for at bryde forskellige niveauer, og hvorfor fire tilfældige ord ofte slår et 12-tegn "P@ssw0rd!".
"Gør dit password komplekst" er ubrugelig råd. Det fortæller dig at tilføje et symbol og et tal, som om det gjorde passwordet sikkert. Det gør det ikke. Det eneste ærlige mål for passwordstyrke er entropi, og de fleste "komplekse" passwords scorer dårligere på det end du tror.
Hvad Entropi Faktisk Måler
Entropi er mængden af tilfældighed i dit password — med andre ord, hvor mange gæt en angriber i gennemsnit skal bruge for at knække det ved brute force. Det beregnes som længde × log₂(puljestørrelse).
Eksempel: et 10-tegns password, der kun bruger små bogstaver (pulje = 26) har entropi 10 × log₂(26) ≈ 47 bits. Et 10-tegns password, der bruger små bogstaver, store bogstaver, tal og symboler (pulje = 88) har 10 × log₂(88) ≈ 64,6 bits. Samme længde, men den større pulje gør hvert tegn arbejde hårdere.
Hvor Mange Bits Er "Sikker"?
Grov moderne tærskler (forudsat et godt hashed password, der overlever et datalæk — hvis webstedet bruger bcrypt eller argon2, som det burde):
- Under 40 bits: kan knækkes på minutter af en enkelt GPU.
- 40–60 bits: kan knækkes på timer til uger af en seriøs angriber med en GPU-farm.
- 60–80 bits: sikkert mod dagens offline brute force. Godt mål for individuelle konti.
- 80–100 bits: modstandsdygtigt over for enhver nuværende modstander, inklusive nationalstater, i nuværende hardwares levetid.
- 100+ bits: overkill for enhver realistisk truselmodel.
Sigter efter 80 bits på alt, der beskytter penge, identitet eller infrastruktur. Sigter efter 100+ på dit passwordmanagers masterpassword.
"Komplekse" Password-Fælden
Brugere bedt om at oprette et "komplekst" password vælger forudsigelige mønstre: kapitaliserer det første bogstav, tilføjer et tal til sidst, swapper a til @. Password1! er 10 tegn og ser komplekst ud for mennesker. For en cracker er det et gæt — det optræder i hver lækket-password-ordbog.
Den reelle entropi af brugervalgeste passwords er dramatisk lavere end deres puljestørrelse antyder, fordi mennesker ikke er gode til at være tilfældige. Studier placerer det konsekvent omkring 20–30 bits uanset den påståede kompleksitet.
Hvorfor Passphrase'er Vinder
En passphrase er 4–7 tilfældige ord forbundet med bindestreger: have-flod-blyant-stærk-solnedgang-bro. Seks tilfældige ord fra en 512-ords liste har 6 × log₂(512) = 54 bits entropi — mere end de fleste opnår med deres "komplekse" password, og dramatisk mere memorable.
Skaler til syv ord og du krydser 63 bits. Otte ord fra en 7776-ords liste (Diceware) giver 103 bits. Alt mens det er let at skrive, let at huske, og immunt over for de fleste ordbogsangreb (fordi kombinationen er tilfældig selvom hvert ord er almindeligt).
Udtaleligt Passwords: Mellemvejsløsningen
For scenarier, hvor et password skal dikteres over telefonen, veksler udtalelige passwords konsonanter og vokaler: baketomiloguno. Hver stavelse (konsonant + vokal) har log₂(21 × 5) ≈ 6,7 bits entropi, så seks stavelser giver ~40 bits.
Svagere end passphrase'er men stærkere end typisk menneskevalgeste passwords, og kritisk nemmere at læse højt uden at spørge "var det et O eller et nul?".
Generering af Sikre Passwords
Stol ikke på menneskelig tilfældighed. Brug et værktøj. aukimi Password Generator tilbyder tre tilstande — tilfældig, passphrase og udtaleligt — med en live entropimåler, så du kan se præcis hvor stærk dit output er. Det bruger crypto.getRandomValues (browserens kryptografisk sikker tilfældigkilde) og anvender rejection sampling for at eliminere modulo bias.
Kritisk: generering sker helt i din browser. Intet transmitteres, logges eller gemmes. Åbn dine devtools netværksfanen mens du genererer — du vil se nul forespørgsler forlade siden.
Den Eneste Regel
Brug en passwordmanager. Generer et langt tilfældigt password til hvert websted (din passwordmanager glemmer det aldrig, så længde betyder ikke noget for brugbarhed). Brug en passphrase som dit passwordmanagers masterpassword — det er den eneste du skal huske.
Alt andet er optimering. Få dette ene mønster rigtigt og du er foran 95% af brugerne.
Kunne du lide denne artikel?
Relaterede Artikler
Det kreative stack kollapsede lige: En uge med AI-værktøjer, sen april 2026
Mellem 27. april og 4. maj 2026 krydsede Adobe, Luma, Novi, fal, Figma, Canva, HeyGen og Anthropic samme tærskel på otte dage. Her er hvad der blev lanceret, hvad det betyder, og hvor det efterlader de browserbaserede kreative suites, der forsøger at konsolidere det hele.
AI-musik og SFX i 2026: Hvad der faktisk virker i indie-gameslyd
For tre år siden betød indie-gameslyd enten licensering af royalty-free biblioteker (billigt, generisk, alle spil lyder ens) eller at ansætte en komponist (godt, dyrt). I 2026 genererer AI musikker, der sendes live. Her er hvilke værktøjer, der leverer — og hvor en menneskelig komponist stadig vinder.
AI Mesh-generering i 2026: Hvad der faktisk bliver leveret i game pipelines
Image-to-3D gik fra "uhyggelig demo" til "skib i indie-projekter" på 18 måneder. Her er hvad Tripo, Meshy, Rodin og Hyper3D faktisk gør i produktion — og hvor 3D-kunstneren stadig slår modellen hver gang.