Vi måste alla vara vaksamma när det gäller att skapa matematiskt ogenomträngliga lösenord. Och om du är en av de hundratusentals människor som använder namn och födelsedatum i sina lösenord(nytt fönster), så är det definitivt dags att skärpa din inloggningssäkerhet.
I den här artikeln förklarar vi hur du kan uppskatta och förbättra din lösenordsentropi, vilket är bra för din onlinesäkerhet. Men det finns en avvägning: Att maximera ett lösenords entropi innebär i princip att göra det omöjligt för dig att komma ihåg det. Som alltid finns det en XKCD-serie(nytt fönster) som sammanfattar problemet.
Med tanke på hur många onlinetjänster vi alla registrerar oss för (åtminstone dussintals) är det nästan omöjligt för en genomsnittlig person att memorera ett starkt lösenord för var och en.
Därför rekommenderar vi att du använder en lösenordshanterare som Proton Pass, som kan generera lösenord med extremt hög entropi. Den kommer att komma ihåg dem och autofylla dem åt dig.
Nedan förklarar vi vad lösenordsentropi betyder, hur du kan beräkna den och hur den påverkar ditt lösenords styrka. Det kan hjälpa dig att välja de säkraste inställningarna i din lösenordshanterare (eller undvika inloggningar för tjänster som kräver lösenord med mycket låg entropi).
Vad betyder ”lösenordsentropi”?
Lösenordsentropi syftar på hur oförutsägbart ditt lösenord eller din lösenfras är, mätt i bitar. Vanligtvis gäller att ju fler bitar av entropi det finns, desto mer komplext är lösenordet och desto svårare är det att knäcka genom brute force-attacker.
Brute force-angripare använder uteslutningsmetoden för att gissa kombinationer av tecken i inloggningsuppgifter, lösenord och krypteringsdata.
Till exempel använder många hackare komplexa skript och maskiner för att automatisera tusentals lösenordsgissningar inom några minuter. I ett av de mest iögonfallande fallen bearbetade forskare upp till 350 miljarder lösenordsgissningar(nytt fönster) per sekund.
Angripare använder brute force-attacker för att snabbt avslöja svaga lösenord. Genom att mäta och prioritera entropin för dina lösenord kan du hjälpa till att förhindra att denna data hamnar i fel händer.
Hur påverkar lösenordsentropi lösenordsstyrkan?
Flera faktorer påverkar ett lösenords entropi och därmed dess styrka. Du måste ta hänsyn till ditt lösenords:
- Längd (i antal tecken)
- Användning av stora och små bokstäver
- Användning av siffertecken
- Användning av specialsymboler
Av alla element som listas här är lösenordets längd det viktigaste. En tillräckligt lång lösenfras kommer att stoppa nästan alla brute force-attacker. Och du kan öka entropin ytterligare genom att använda slumpmässiga stora bokstäver, specialsymboler och siffror.
Entropi handlar dock inte bara om hur långt eller komplext ditt lösenord ser ut. Det kan också bero på hur det skapades. En helt slumpmässig sträng har mycket högre entropi än ett vanligt ord eller en vanlig fras, även om båda är lika långa.
Hackare kan använda ordboksattacker för att gissa dina inloggningsuppgifter om du använder ett igenkännbart ord eller en vanlig fras i ditt lösenord.
En ordboksangripare automatiserar brute force-gissningar av varje ord i en ordbok som kan användas i ett lösenord.
Oavsett ditt lösenords entropi riskerar du därför fortfarande att bli hackad om du använder husdjursnamn, sportlag eller andra vanliga lösenord (använd till exempel aldrig ”lösenord”) i dina inloggningsuppgifter.
Hur man beräknar lösenordsentropi
Vi förklarar hur man beräknar lösenordsentropi, men det är viktigt att notera att detta helt enkelt är en demonstration. Du kan inte säkert uppskatta ett lösenords entropi baserat på hur det ser ut. Mänskligt genererade lösenord – även långa – är ofta högst förutsägbara. Såvida det inte skapades med en slumpmässig generator bör du utgå ifrån att entropin är lägre än du tror.
Förutsatt att du använder en slumpmässig teckensträng mäts lösenordsentropi i bitar och beror på två huvudfaktorer:
- Antalet tillgängliga tecken i det teckenintervall som valts för lösenordet
- Antalet tecken i lösenordet
Därför ökar lösenordsentropin ju längre ditt lösenord är och ju bredare ditt möjliga teckenintervall är. Ett långt lösenord som använder stora bokstäver, små bokstäver, symboler och siffror, som kmXz2=zs[m%7?y4A, kommer att ha mycket hög entropi.
Ett lösenord som endast använder små bokstäver eller siffror, som dzormybs eller 119022833, kommer att ha mycket låg entropi.
Lösenfraser är lättare att komma ihåg, men du måste vara försiktig. De måste vara längre för att skapa liknande nivåer av entropi. Till exempel ser en lösenfras som HelpFidoSaveChocolate33! komplex ut, men eftersom den använder fyra vanliga engelska ord och en förutsägbar siffer- och symbolkombination på slutet, kan dess verkliga entropi ligga närmare 50 bitar. Detta är mycket mindre än entropin för kmXz2=zs[m%7?y4A, trots att den är åtta tecken kortare.
Vad är entropibitar?
Entropibitar mäter hur svårt ett lösenord är att knäcka. Till exempel har ett lösenord som du redan känner till noll bitar.
Med hjälp av en formel kan vi beräkna hur många entropibitar som finns i ett lösenord, och med dem hur många gissningar en angripares skript eller maskin skulle behöva för att få åtkomst.
Men innan vi kan beräkna lösenordsentropi måste vi mäta alla de olika möjliga teckenintervallen.
Mäta teckenintervall
Följande tabell visar hur dina teckenalternativ ökar när du lägger till olika tecken i ditt lösenord om du skriver på engelska. Antalet bokstäver och symboler kan variera beroende på vilket språk du använder.
| Teckentyp | Exempel | Intervallstorlek |
| Siffror | 0, 1, 2, 3 | 10 |
| Latinska bokstäver (gemener) | a, b, c, d | 26 |
| Latinska bokstäver (versaler) | A, B, C, D | 26 |
| Specialsymboler | !, @, %, $ | 32 |
Ju fler valmöjligheter av potentiella tecken du ger potentiella hackare, desto högre blir ditt lösenords entropi. Prioritera därför ett så brett teckenintervall som möjligt och använd en blandning av alla fyra typerna.
Här är några exempel på lösenord och deras totala teckenintervall:
| Exempel | Totalt teckenintervall |
| 112233 | 10 |
| abcde | 26 |
| a1b2c3d4 | 36 |
| a1B2c3D4 | 62 |
| a1!B2%c3^D4 | 94 |
Kom ihåg att datan ovan visar dig det potentiella teckenintervallets storlek, inte entropibitar. Vi måste använda en specifik formel för att beräkna den exakta entropin för lösenord i bitar.
Formel för lösenordsentropi
Du kan mäta ett lösenords entropi i bitar med följande formel:
E = L × log2(R)
I denna formel:
- E är ditt lösenords entropi
- R är det möjliga intervallet av teckentyper i ditt lösenord (tabellerna som visas ovan)
- L är antalet tecken i ditt lösenord (dess längd)
- Log2 besvarar frågan ”till vilken potens 2 måste upphöjas för att bli lika med detta tal”
Med hjälp av denna formel kan vi se hur några exempel på lösenord mäts i bitar:
| Exempel | Teckenintervall | Lösenordslängd | Beräkning | Entropibitar |
| fygwcbjnhsbh | 26 | 12 tecken | E = 12 x 4,7 | 56,4 |
| HzgNhHkY1WQ8AM | 62 | 14 tecken | E = 14 x 5,95 | 83,3 |
| kmXz2=zs[m%7?y4A | 94 | 16 tecken | E = 16 x 6,55 | 104,8 |
Matematiken visar oss att ju längre och mer komplext ett lösenord är, desto fler entropibitar har det.
Kom ihåg att dessa beräkningar endast gäller för slumpmässigt genererade lösenord. Lösenfraser som använder vanliga ord måste vara längre och använda ovanliga, orelaterade ord (och helst siffror och symboler) för att uppnå en liknande säkerhetsnivå.
Och kom ihåg att dessa beräkningar mer är till för demonstration än praktisk användning. Du bör förlita dig på lösenordsgeneratorer istället för att själv försöka beräkna hur starkt ett lösenord är
Du kan använda vår kostnadsfria lösenordsgenerator för att experimentera och se hur starka olika lösenord är.
Återigen är entropi bara ett mått på styrka. Undvik vanligt förekommande lösenord eller fraser för att undvika ordlisteattacker. Du bör också undvika att använda personlig information, som ditt födelsedatum, ditt husdjurs namn eller ditt gatunamn i ditt lösenord, eftersom angripare kan komma över denna information.
När anses ett lösenord vara starkt?
Generellt sett har ett starkt lösenord eller ett lösenord med hög entropi minst 75 bitar. Allt med mindre än 72 bitar är rimligen enkelt för en maskin att knäcka.
Vi beräknar det maximala antalet potentiella gissningar med beräkningen 2 ^ (antal bitar). Det är hur många gånger talet 2 fördubblas för att nå det totala antalet bitar.
Till exempel skulle ett lösenord med 10 bitars entropi, genom att använda 2 ^ 10, behöva maximalt 1 024 gissningar för att knäckas. Det är vanligtvis ett sifferbaserat lösenord med tre tecken, till exempel 456.
Sikta på en entropi på över 100 bitar för att skapa ett starkt lösenord, och sikta så högt som möjligt. Ju högre entropi, desto längre tid tar det för maskiner att gissa rätt lösenord med brute force.
Reglerna för att skapa ett lösenord med hög entropi skiljer sig vilt åt beroende på vilken säkerhetsexpert du pratar med, men det finns några allmänna regler som vi alla kan enas om:
- Ditt lösenord bör vara minst 14 tecken långt och använda en blandning av tecken (inte bara gemener i det grundläggande latinska alfabetet)
- Du bör undvika att använda fraser eller termer som är viktiga för dig (och som därför är lätta att gissa)
- Ett starkt lösenord är inte kopplat till sitt användarnamn (behandla alltid de två som separata enheter)
- Det är en blandning av minst en gemen bokstav, en versal bokstav, en siffra och ett specialtecken (till exempel %, ^, *, &, @, ~, osv.)
Vi rekommenderar även att du använder en blockeringslista för lösenord för att undvika ord eller fraser som är populära på webben. Till exempel är NIST:s Bad Passwords-projekt(nytt fönster) ett populärt verktyg med öppen källkod för att skapa fraser med hög entropi.
Om du vill skapa ett säkert adminlösenord för din lösenordshanterare bör du överväga följande riktlinjer
Sammanfattningsvis innehåller ett genuint säkert lösenord till exempel:
- Minst en versal bokstav
- Minst en gemen bokstav
- Minst en specialsymbol
- Minst en siffra
- Minst 14 tecken (eller minst 30 för lösenfraser, förutsatt att orden är ovanliga och orelaterade)
Exemplet ovan, kmXz2=zs[m%7?y4A, uppfyller alla dessa krav och skapar ett lösenord med cirka 105 bitars entropi, vilket skulle ta en omöjligt lång tid att knäcka med brute force.
Generera starka lösenord med Proton Pass
Det enda sättet att generera och komma ihåg tillräckligt många starka lösenord för alla dina onlinekonton är att använda en lösenordshanterare. Proton Pass genererar säkra fraser åt dig med ett klick. Du kan använda det för att skapa lösenfraser med 10 ord eller slumpmässiga lösenord med 64 tecken, och det ger dig kontroll över om varje lösenord ska innehålla siffror, versaler och specialtecken, om du vill maximera dina lösenords entropi.
Med Proton Pass är dina lösenord inte bara svåra att knäcka – de lagras med end-to-end-kryptering och säkerhetskopieras med säker tvåfaktorsautentisering genom världens mest säkra, kostnadsfria lösenordshanterare. Läs Proton Pass säkerhetsmodell för att lära dig mer.
Om lösenordsentropi får dig att klia dig i huvudet kan du registrera dig för Proton Pass. Vi hjälper dig att generera, lagra och säkra lösenord för att motstå skadliga attacker.
Uppdatering 18 november 2025: Den här artikeln har uppdaterats för att tydligare förklara problemen med att försöka beräkna entropin för lösenfraser och lösenord i allmänhet. Komplexiteten för lösenord är lätt att överskatta om de inte är helt slumpmässigt genererade.
Vanliga frågor
Ett lösenords komplexitet syftar vanligtvis på dess potentiella teckenuppsättning, medan lösenordsentropi syftar på matematiken bakom hur svårt det är att gissa. Entropi mäts i bitar, vilket i sin tur visar hur många brute force-gissningar som krävs för att knäcka ett lösenord.
Det beror på hur orden valdes. Om de valdes slumpmässigt (till exempel med en Diceware-lista) lägger varje ord till cirka 12–13 bitars entropi. En slumpmässig lösenfras på fyra ord skulle alltså ha cirka 50–52 bitars entropi. Men om orden valdes av en människa kan entropin vara mycket lägre.
128 bitars entropi innebär att ditt lösenord skulle kräva 2¹²⁸ gissningar för att knäckas med brute force – det är mer än antalet atomer i universum. I praktiken är allt över 100 bitar säkert. Även lösenord med 75–80 bitar anses vara resistenta mot alla kända brute force-attacker idag.






