Vi må alle være påvakt når det gjelder å opprette matematisk ugjennomtrengelige passord. Og hvis du er en av de hundretusenvis av menneskene som bruker navn og fødselsdatoer i passordene sine(nytt vindu), så er det definitivt på tide å stramme inn påloggingssikkerheten din.

I denne artikkelen forklarer vi hvordan du kan anslå og forbedrer passordentropien din, noe som er bra for din påloggede sikkerhet. Men det finnes et kompromiss: Å maksimere et passords entropi betyr i hovedsak å gjøre det umulig for deg å huske. Som alltid finnes det en XKCD-tegneserie(nytt vindu) som oppsummerer problemet.

Med tanke på hvor mange påloggede tjenester vi alle registrerer oss på (minst dusinvis), er det nesten umulig for en gjennomsnittlig person å huske et sterkt passord for hver enkelt.

Derfor er vår anbefaling å bruke en passordapp som Proton Pass, som kan generere passord med ekstremt høy entropi. Den vil huske dem og autofylle dem for deg.

Nedenfor forklarer vi hva passordentropi betyr, hvordan du kan beregne det, og hvordan det påvirker passordets styrke. Det kan hjelpe deg med å velge de mest sikre innstillingene i passordappen din (eller unngå pålogginger for tjenester som krever passord med svært lav entropi).

Hva betyr «passordentropi»?

Passordentropi refererer til hvor uforutsigbart passordet eller frasen din er, målt i bits. Vanligvis betyr mer entropi-bits at passordet er mer komplekst, og desto vanskeligere er det å knekke med brute force-angrep.

Brute force-angripere bruker prøving og feiling for å gjette kombinasjoner av tegn i påloggingsinformasjon, passord og krypteringsdata.

For eksempel bruker mange hackere komplekse skripter og maskiner til å automatisere tusenvis av passordgjettinger i løpet av få minutter. I et av de mest oppsiktsvekkende tilfellene behandlet forskere opptil 350 milliarder passordgjettinger(nytt vindu) per sekund.

Angripere bruker brute force-angrep til å avdekke svake passord raskt. Ved å måle og prioritere entropien til passordene dine kan du bidra til å forhindre at disse dataene havner i feil hender.

Hvordan påvirker passordentropi passordstyrken?

Flere faktorer påvirker passordets entropi og dermed dets styrke. Du må vurdere passordets:

  • Lengde (i antall tegn)
  • Bruk av store og små bokstaver
  • Bruk av numeriske tegn
  • Bruk av spesialtegn

Av alle elementene som er oppført her, er passordlengde det viktigste. En tilstrekkelig lang passfrase vil overvinne nesten ethvert brute force-angrep. Og du kan øke entropien ytterligere ved å bruke tilfeldige store bokstaver, spesialtegn og tall.

Entropi handler imidlertid ikke bare om hvor langt eller komplekst passordet ditt ser ut. Det kan også avhenge av hvordan det ble opprettet. En helt tilfeldig streng har mye høyere entropi enn et vanlig ord eller uttrykk, selv om begge har samme lengde.

Hackere kan bruke ordbokangrep til å gjette påloggingsinformasjonen din hvis du bruker et gjenkjennelig ord eller et vanlig uttrykk i passordet ditt.

Et ordbokangrep automatiserer brute force-gjetting av hvert ord i en ordbok som kan brukes i et passord.

Derfor, uavhengig av passordets entropi, risikerer du fortsatt å bli hacket hvis du bruker navn på kjæledyr, idrettslag eller andre vanlige passord (for eksempel må du aldri bruke «password») i påloggingsopplysningene dine.

Slik beregner du passordentropi

Vi forklarer hvordan du beregner passordentropi, men det er viktig å merke seg at dette bare er en demonstrasjon. Du kan ikke anslå et passords entropi på en trygg måte basert på hvordan det ser ut. Menneskeskapte passord – selv lange – er ofte svært uforutsigbare. Med mindre det ble opprettet med en tilfeldig generator, bør du anta at entropien er lavere enn du tror.

Forutsatt at du bruker en tilfeldig tegnstreng, måles passordentropi i bits og avhenger av to hovedfaktorer:

  1. Antall tilgjengelige tegn i tegnområdet som er valgt for passordet
  2. Antall tegn i passordet

Derfor øker passordentropien jo lengre passordet ditt er og jo bredere det mulige tegnområdet ditt er. Et langt passord som bruker store bokstaver, små bokstaver, symboler og tall, som kmXz2=zs[m%7?y4A, vil ha svært høy entropi.

Et passord som bare bruker små bokstaver eller tall, som dzormybs eller 119022833, vil ha svært lav entropi.

Passfraser er lettere å huske, men du må være forsiktig. De må være lengre for å skape lignende entropinivåer. For eksempel ser en passfrase som HelpFidoSaveChocolate33! kompleks ut, men fordi den bruker fire vanlige engelske ord og en forutsigbar tall-symbol-kombinasjon på slutten, kan den sanne entropien være nærmere 50 bits. Dette er langt mindre enn entropien til kmXz2=zs[m%7?y4A, selv om den er åtte tegn kortere.

Hva er entropi-bits?

Entropi-bits måler hvor vanskelig et passord er å knekke. For eksempel har et passord du allerede kjenner til, null bits.

Ved hjelp av en formel kan vi beregne hvor mange entropi-bits det er i et passord, og med det hvor mange gjettinger en angripers skript eller maskin ville trenge for å få tilgang.

Men før vi kan beregne passordentropi, må vi måle alle de forskjellige mulige tegnområdene.

Måling av tegnområder

Følgende tabell viser hvordan tegnvalgene dine økes når du legger til forskjellige tegn i passordet ditt hvis du skriver på engelsk. Antall bokstaver og symboler kan variere avhengig av språket du bruker.

TegntypeEksempel (eksempler)Områdestørrelse
Tall0, 1, 2, 310
Latinske bokstaver (små)a, b, c, d26
Latinske bokstaver (store)A, B, C, D26
Spesialtegn!, @, %, $32

Jo flere tegnvalg du gir potensielle hackere, desto høyere blir passordentropien din. Prioriter derfor et så bredt tegnutvalg som mulig, og bruk en blanding av alle fire typer.

Her er noen eksempler på passord og deres totale tegnutvalg:

EksempelTotalt tegnutvalg
11223310
abcde26
a1b2c3d436
a1B2c3D462
a1!B2%c3^D494

Husk at dataene ovenfor viser deg den potensielle størrelsen på tegnutvalgene, ikke entropi-biter. Vi må bruke en spesifikk formel for å beregne den nøyaktige entropien til passord i biter.

Formel for passordentropi

Du kan måle et passords entropi i biter ved å bruke følgende formel:

E = L × logg2(R)

I denne formelen:

  • E er passordentropien din
  • R er det mulige utvalget av tegntyper i passordet ditt (tabellene vist ovenfor)
  • L er antall tegn i passordet ditt (lengden på det)
  • Logg2 svarer på spørsmålet «hvilken potens må 2 opphøyes i for å være lik dette tallet»

Ved å bruke denne formelen kan du se hvordan noen eksempler på passord måles i biter:

EksempelTegnutvalgPassordlengdeBeregningEntropi-biter
fygwcbjnhsbh2612 tegn.E = 12 x 4,756,4
HzgNhHkY1WQ8AM6214 tegn.E = 14 x 5,9583,3
kmXz2=zs[m%7?y4A9416 tegn.E = 16 x 6,55104,8

Matematikken viser oss at jo lenger og mer komplekst et passord er, desto flere entropi-biter har det.

Husk at disse beregningene kun gjelder for tilfeldig genererte passord. Passfraser som bruker vanlige ord, må være lengre og bruke uvanlige, urelaterte ord (og ideelt sett tall og symboler) for å generere et lignende sikkerhetsnivå.

Og husk at disse beregningene er mer for demonstrasjon enn praktisk bruk. Du bør stole på passordgeneratorer i stedet for å prøve å beregne hvor sterkt et passord er selv

Du kan bruke vår gratis passordgenerator til å eksperimentere og se hvor sterke forskjellige passord er.

Igjen, entropi is bare ett mål på styrke. For å unngå ordbokangrep bør du unngå ofte brukte passord eller fraser. Du bør også unngå å bruke personlig informasjon, som fødselsdatoen din, navnet på kjæledyret ditt eller gatenavnet ditt i passordet ditt, ettersom angripere kan få tak i denne informasjonen.

Når regnes et passord som sterkt?

Generelt oppnår et sterkt passord eller et passord med høy entropi minst 75 biter. Alt med mindre enn 72 biter er rimelig enkelt for en maskin å knekke.

Vi beregner det maksimale antallet potensielle gjett ved hjelp av beregningen 2 ^ (antall biter). Det er hvor mange ganger tallet 2 dobles for å nå det totale antallet biter.

For eksempel vil et passord med 10 biter entropi, ved bruk av 2 ^ 10, kreve maksimalt 1 024 gjett for å knekkes. Det er vanligvis et numerisk passord med tre tegn, som 456.

Sikt på en entropi på over 100 biter for å opprette et sterkt passord, og sikt så høyt som mulig. Jo høyere entropi, desto lengre tid vil det ta for maskiner å «brute-force» et riktig passordgjett.

Reglene for å lage et passord med høy entropi varierer veldig avhengig av hvilken sikkerhetsekspert du snakker med, men det er noen generelle regler vi alle kan være enige om:

  1. Passordet ditt bør være minst 14 tegn langt og bruke en blanding av tegn (ikke bare små bokstaver i det grunnleggende latinske alfabetet)
  2. Du bør unngå å bruke fraser eller begreper som betyr mye for deg (og som derfor er enkle å gjette)
  3. Et sterkt passord kobles ikke til brukernavnet sitt (behandle alltid de to som separate enheter)
  4. Det er en blanding av minst én liten bokstav, én stor bokstav, ett tall og ett spesialtegn (for eksempel %, ^, *, &, @, ~, osv.)

Vi anbefaler også å bruke en svarteliste for passord for å unngå å bruke ord eller fraser som er populære på nettet. For eksempel er NISTs Bad Passwords-prosjekt(nytt vindu) et populært åpen kildekode-verktøy for å lage fraser med høy entropi.

Hvis du vil lage et sikkert administratorpassord for passordappen din, bør du vurdere følgende retningslinjer

For å oppsummere inneholder et virkelig sikkert passord for eksempel:

  • Minst én stor bokstav
  • Minst én liten bokstav
  • Minst ett spesialtegn
  • Minst ett siffer
  • Minst 14 tegn (eller minst 30 for passfraser, forutsatt at ordene er uvanlige og urelaterte)

Eksempelet ovenfor, kmXz2=zs[m%7?y4A, oppfyller alle disse kravene og skaper et passord med omtrent 105 bits entropi, noe som ville tatt en umulig lang tid å knekke med brute force.

Generer sterke passord med Proton Pass

Den eneste måten å generere og huske nok sterke passord for alle online-kontoene dine på, er å bruke en passordapp. Proton Pass genererer sikre fraser for deg med ett klikk. Du kan bruke den til å lage passfraser på 10 ord eller tilfeldige passord på 64 tegn, og den gir deg kontroll over om hvert passord skal bruke tall, store bokstaver og spesialtegn, i tilfelle du vil maksimere passordenes entropi.

Med Proton Pass er ikke passordene dine bare vanskelige å knekke – de er lagret med ende-til-ende-kryptering og sikkerhetskopiert med sikker tofaktorautentisering gjennom verdens sikreste, gratis passordapp. Les Proton Pass’ sikkerhetsmodell for å finne ut mer.

Hvis passordentropi gjør at du klør deg i hodet, kan du registrere deg og opprette en konto hos Proton Pass. Vi hjelper deg med å generere, lagre og sikre passord for å motstå skadelige angrep.

Oppdatering 18. november 2025: Denne artikkelen ble oppdatert for å forklare tydeligere problemene med å prøve å beregne entropien til passfraser og passord generelt. Kompleksiteten til passord er lett å overvurdere med mindre de er generert helt tilfeldig.

FAQ

Hva er passordkompleksitet kontra passordentropi?

Et passords kompleksitet refererer vanligvis til det mulige tegnutvalget, mens passordentropi refererer til matematikken bak hvor vanskelig det er å gjette. Entropi måles i bits, som igjen forteller deg hvor mange brute force-gjett som kreves for å knekke et passord.

Hva er entropien til et passord på fire ord?

Det avhenger av hvordan ordene ble valgt. Hvis de ble valgt tilfeldig (for eksempel ved hjelp av en Diceware-liste), legger hvert ord til omtrent 12–13 bits entropi. Så en tilfeldig passfrase på fire ord ville ha rundt 50–52 bits entropi. Men hvis ordene ble valgt av et menneske, kan entropien være mye lavere.

Hva betyr 128 bits entropi?

128 bits entropi betyr at passordet ditt krever 2¹²⁸ brute force-gjett – det er mer enn antall atomer i universet. For praktiske formål er alt over 100 bits sikkert. Selv passord med 75–80 bits anses som motstandsdyktige mot alle kjente brute-force-angrep i dag.