Lösenordsentropin Förklarad — Och Varför Ditt "Komplexa" Lösenord Är Svagare än en Lösenordsfras
Entropi är det enda ärliga måttet på lösenordsstyrka. Här är hur det beräknas, hur lång tid angripare behöver för att bryta olika nivåer, och varför fyra slumpmässiga ord ofta slår ett 12-tecken långt "P@ssw0rd!".
"Gör ditt lösenord komplext" är värdelöst råd. Det säger åt dig att lägga till en symbol och en siffra som om det gjorde lösenordet säkert. Det gör det inte. Det enda ärliga måttet på lösenordsstyrka är entropi, och de flesta "komplexa" lösenord får ett sämre värde än du tror.
Vad Entropi Faktiskt Mäter
Entropi är mängden slumpmässighet i ditt lösenord — med andra ord, hur många gissningar en angripare behöver i genomsnitt för att knäcka det genom brute force. Det beräknas som längd × log₂(poolstorlek).
Exempel: ett 10-tecken långt lösenord med endast små bokstäver (pool = 26) har entropi 10 × log₂(26) ≈ 47 bitar. Ett 10-tecken långt lösenord med små bokstäver, stora bokstäver, siffror och symboler (pool = 88) har 10 × log₂(88) ≈ 64,6 bitar. Samma längd, men den större poolen gör varje tecken mer värdefullt.
Hur Många Bitar Är "Säkert"?
Ungefärliga moderna tröskelvärden (förutsatt ett väl-hashad lösenord som överlevde ett databasleck — om webbplatsen använder bcrypt eller argon2, vilket den borde):
- Under 40 bitar: kan knäckas på minuter av ett enda GPU.
- 40–60 bitar: kan knäckas på timmar till veckor av en seriös angripare med en GPU-gård.
- 60–80 bitar: säkert mot dagens offline brute force-attacker. Bra mål för individuella konton.
- 80–100 bitar: motståndskraftigt mot någon nuvarande motståndare, inklusive nationalstater, under dagens hårdvaras livslängd.
- 100+ bitar: överkill för någon realistisk hotmodell.
Sikta på 80 bitar för allt som skyddar pengar, identitet eller infrastruktur. Sikta på 100+ för ditt lösenordshanterares huvudlösenord.
"Komplexa" Lösenordsfällan
Användare som ombeds skapa ett "komplext" lösenord väljer förutsägbara mönster: kapitalisera första bokstaven, lägg till en siffra i slutet, byt a mot @. Password1! är 10 tecken långt och ser komplext ut för en människa. För en knäckare är det en gissning — det förekommer i alla läckta-lösenord-ordböcker.
Den verkliga entropin för användarvalda lösenord är dramatiskt lägre än vad poolstorleken antyder, eftersom människor inte är bra på att vara slumpmässiga. Studier placerar det konsekvent runt 20–30 bitar oavsett påstått komplexitet.
Varför Lösenordsfraser Vinner
En lösenordsfras är 4–7 slumpmässiga ord sammanfogade med bindestreck: trädgård-älv-penna-stark-solnedgång-bro. Sex slumpmässiga ord från en 512-ord-lista har 6 × log₂(512) = 54 bitar entropi — mer än vad de flesta folk uppnår med sitt "komplexa" lösenord, och dramatiskt lättare att komma ihåg.
Skala upp till sju ord och du överskrider 63 bitar. Åtta ord från en 7776-ord-lista (Diceware) ger 103 bitar. Allt detta medan det är lätt att skriva, lätt att komma ihåg, och immunt mot de flesta ordboksattacker (eftersom kombinationen är slumpmässig även om varje ord är vanligt).
Uttalsbara Lösenord: Mittersta Vägen
För scenarier där ett lösenord måste dikteras över telefon, uttalsbara lösenord växlar mellan konsonanter och vokaler: baketomiloguno. Varje stavelse (konsonant + vokal) har log₂(21 × 5) ≈ 6,7 bitar entropi, så sex stavelser ger ~40 bitar.
Svagare än lösenordsfraser men starkare än typiska användarvalda lösenord, och kritiskt mycket lättare att läsa upp högt utan att behöva fråga "var det ett O eller en nolla?".
Generera Säkra Lösenord
Förlita dig inte på mänsklig slumpmässighet. Använd ett verktyg. aukimi Lösenordsgeneratorn erbjuder tre lägen — slumpmässigt, lösenordsfras och uttalbart — med en direktentropimätare så du kan se exakt hur starkt ditt resultat är. Den använder crypto.getRandomValues (webbläsarens kryptografiskt säkra slumpmässiga källa) och använder rejection sampling för att eliminera modulo-bias.
Kritiskt: generering sker helt i din webbläsare. Inget överförs, loggas eller lagras. Öppna dina devtools nätverksflik under generering — du kommer att se noll förfrågningar lämna sidan.
Den Enda Regeln
Använd en lösenordshanterare. Generera ett långt slumpmässigt lösenord för varje webbplats (din lösenordshanterare glömmer aldrig det, så längd spelar ingen roll för användbarhet). Använd en lösenordsfras som ditt lösenordshanterares huvudlösenord — det är det enda du behöver komma ihåg.
Allt annat är optimering. Få detta enda mönster rätt och du är före 95% av användarna.
Gillade du den här artikeln?
Relaterade Artiklar
Den kreativa stacken kollapsade precis: En vecka av AI-verktyg, sen april 2026
Mellan 27 april och 4 maj 2026 överskred Adobe, Luma, Novi, fal, Figma, Canva, HeyGen och Anthropic samma tröskel på åtta dagar. Här är vad som lanserades, vad det betyder, och var det lämnar de webbläsarbaserade creativsuiter som försöker konsolidera allt.
AI-musik och SFX 2026: Vad som faktiskt fungerar i indiespelsljud
För tre år sedan betydde indiespelsljud antingen licensiering av royaltyfria bibliotek (billigt, generiskt, alla spel låter likadant) eller att anställa en kompositör (bra, dyrt). 2026 genererar AI musik som skeppas. Här är vilka verktyg som levererar — och var en mänsklig kompositör fortfarande vinner.
AI-meshgenerering 2026: Vad som faktiskt levereras i spelutvecklingspipelines
Image-to-3D gick från "kuslig demo" till "levereras i indieprojekt" på arton månader. Här är vad Tripo, Meshy, Rodin och Hyper3D faktiskt gör i produktion — och där 3D-konstnären slår modellen varje gång.