Passordentropi Forklart — Og Hvorfor Ditt "Komplekse" Passord Er Svakere Enn En Passsetning
Entropi er det eneste ærlige målet på passordstyrke. Her er hvordan det beregnes, hvor lang tid angripere trenger for å knekke ulike nivåer, og hvorfor fire tilfeldige ord ofte slår et 12-tegns "P@ssw0rd!".
"Lag passordet ditt komplekst" er ubrukelig råd. Det forteller deg å legge til et symbol og et tall som om det gjorde passordet sikkert. Det gjør det ikke. Det eneste ærlige målet på passordstyrke er entropi, og de fleste "komplekse" passord scorer dårligere på det enn du tror.
Hva Entropi Faktisk Måler
Entropi er antallet bits med tilfeldighet i passordet ditt — med andre ord hvor mange gjetting en angriper trenger, i gjennomsnitt, for å knekke det med råstyrke. Det beregnes som lengde × log₂(pool-størrelse).
Eksempel: et 10-tegns passord som bare bruker små bokstaver (pool = 26) har entropi 10 × log₂(26) ≈ 47 bits. Et 10-tegns passord som bruker små bokstaver, store bokstaver, tall og symboler (pool = 88) har 10 × log₂(88) ≈ 64,6 bits. Samme lengde, men den større poolen gjør at hvert tegn arbeider hardere.
Hvor Mange Bits Er "Sikkert"?
Grove moderne terskler (forutsatt et godt hashet passord som overlever en database-lekkasje — hvis nettstedet bruker bcrypt eller argon2, som det burde):
- Under 40 bits: kan knekkes på minutter av en enkelt GPU.
- 40–60 bits: kan knekkes på timer til uker av en seriøs angriper med en GPU-farm.
- 60–80 bits: sikkert mot dagens offline-råstyrkeangrepAnno. Godt mål for individuelle kontoer.
- 80–100 bits: motstandsdyktig mot enhver nåværende motstander, inkludert nasjonalstater, for levetiden til nåværende maskinvare.
- 100+ bits: overkill for enhver realistisk truselmodell.
Sikte på 80 bits for alt som beskytter penger, identitet eller infrastruktur. Sikte på 100+ for passordhåndtererens hovedpassord.
"Komplekse" Passord-Fellen
Brukere som blir bedt om å lage et "komplekst" passord velger forutsigbare mønstre: stor bokstav først, tall på slutten, bytt a med @. Password1! er 10 tegn og ser komplekst ut for mennesker. For en knekker er det ett gjettingsforsøk — det vises i hver lekket-passord-ordbok.
Den virkelige entropien til brukertilpassede passord er dramatisk lavere enn pool-størrelsen deres antyder, fordi mennesker ikke er gode til å være tilfeldige. Studier plasserer det konsekvent rundt 20–30 bits uansett den påståtte kompleksiteten.
Hvorfor Passsetninger Vinner
En passsetning er 4–7 tilfeldige ord sammenføyd med bindestrek: hage-elv-blyant-sterk-solnedgang-bro. Seks tilfeldige ord fra en 512-ords liste har 6 × log₂(512) = 54 bits entropi — mer enn de fleste oppnår med sitt "komplekse" passord, og dramatisk mer minneverdig.
Skaler til sju ord og du krysser 63 bits. Åtte ord fra en 7776-ords liste (Diceware) gir 103 bits. Alt mens det er lett å skrive, lett å huske, og immun mot de fleste ordbokangrepAnno (fordi kombinasjonen er tilfeldig selv om hvert ord er vanlig).
Utttalbare Passord: Mellomveien
For scenarier hvor et passord må dikteres over telefon, veksler utttalbare passord konsonanter og vokaler: baketomiloguno. Hver stavelse (konsonant + vokal) har log₂(21 × 5) ≈ 6,7 bits entropi, så seks stavelser gir ~40 bits.
Svakere enn passsetninger men sterkere enn typiske menneskeskapte passord, og kritisk sett lettere å lese høyt uten å spørre "var det en O eller en null?".
Generering av Sikre Passord
Stol ikke på menneskelig tilfeldighet. Bruk et verktøy. aukimi Passordgeneratoren tilbyr tre modus — tilfeldig, passsetning og utttalbar — med en live entropimåler slik at du kan se nøyaktig hvor sterkt resultatet ditt er. Den bruker crypto.getRandomValues (nettleserens kryptografisk sikre tilfeldigkilde) og bruker avvisningssampling for å eliminere modulobias.
Kritisk: generering skjer helt i nettleseren din. Ingenting overføres, logges eller lagres. Åpne devtools-nettverksfanen mens du genererer — du vil se null forespørsler forlate siden.
Den Eneste Regelen
Bruk en passordhåndterer. Generer et langt tilfeldig passord for hvert nettsted (passordhåndtereren din glemmer det aldri, så lengde spiller ingen rolle for brukbarhet). Bruk en passsetning som passordhåndtererens hovedpassord — det er den eneste du må huske.
Alt annet er optimalisering. Få dette ene mønsteret rett og du er foran 95% av brukere.
Likte du denne artikkelen?
Relaterte Artikler
Den kreative stacken kollapset nettopp: En uke med AI-verktøy, slutten av april 2026
Mellom 27. april og 4. mai 2026 krysset Adobe, Luma, Novi, fal, Figma, Canva, HeyGen og Anthropic samme terskelen på åtte dager. Her er hva som ble lansert, hva det betyr, og hvor det etterlater nettleserbaserte kreative suiter som prøver å konsolidere det hele.
AI-musikk og SFX i 2026: Hva som faktisk fungerer i indie-spilllyd
For tre år siden betydde indie-spilllyd enten lisensering av royalty-frie biblioteker (billig, generisk, alle spill høres like ut) eller ansettelse av en komponist (bra, dyrt). I 2026 genererer AI musikk som blir utgitt. Her er hvilke verktøy som fungerer — og hvor en menneskelig komponist fortsatt vinner.
AI-mesh-generering i 2026: Hva som faktisk leveres i spill-pipelines
Image-to-3D gikk fra «uvirkelig demo» til «leveres i indie-prosjekter» på atten måneder. Her er hva Tripo, Meshy, Rodin og Hyper3D faktisk gjør i produksjon — og hvor 3D-kunstneren fortsatt slår modellen hver gang.