Lösenfras kontra lösenord: vilket är säkrast?
Lösenfraser av slumpmässiga ord och komplexa teckenlösenord löser samma problem på olika sätt. Så här står de sig mot varandra när det gäller entropi, minnesvänlighet och säkerhet i praktiken — och när du bör använda vilket.
Det ärliga svaret: det beror på hur de skapas
En lösenfras är inte automatiskt säkrare än ett lösenord, och vice versa. Det som spelar roll är entropi — hur mycket äkta slumpmässighet hemligheten innehåller — och om en människa faktiskt kan använda den. En slumpmässigt genererad lösenfras på sex ord och ett slumpmässigt genererat lösenord på 20 tecken kan båda vara extremt starka. Ett lösenord du själv hittat på och en lösenfras du själv hittat på kan båda vara svaga.
Jämförelse av entropi
Entropi mäts i bitar, och fler bitar innebär exponentiellt fler gissningar för att knäcka. Ett komplext lösenord packar mer entropi i varje tecken, så det kan vara starkt även om det är kort. En lösenfras sprider entropin över hela ord, så den behöver fler tecken för att nå samma styrka — men de tecknen är långt lättare att minnas. Sex slumpmässiga ord hamnar runt 70–80 bitar; ett helt slumpmässigt lösenord på 16 tecken ligger i ett liknande intervall. Båda motstår offlineknäckning med god marginal.
Jämförelse av minnesvänlighet och användbarhet
Det är här lösenfraser vinner. Människor kan minnas ”hamn-fiol-kobolt-stämpel” långt mer tillförlitligt än ”7xQ!r2$kPm9#”, och de kan skriva det korrekt på en telefon, en tv-fjärrkontroll eller en spelkonsol. För varje hemlighet en människa måste minnas — ett huvudlösenord, en enhetsinloggning, en wifi-nyckel — är den användbarhetsfördelen avgörande.
Var vinner respektive
Använd ett långt slumpmässigt lösenord för konton som din lösenordshanterare lagrar och fyller i, eftersom täthet slår minnesvänlighet när en maskin gör jobbet. Använd en lösenfras för de hemligheter du själv måste minnas. I praktiken är den ideala uppställningen båda: en stark lösenfras för att låsa upp en lösenordshanterare som rymmer långa slumpmässiga lösenord för allt annat.
Vad som inte hjälper särskilt mycket
Förutsägbara knep tillför lite verklig säkerhet: att versalisera första bokstaven, byta ”a” mot ”@”, eller lägga till ”1!” efter ett ordboksord är alla mönster som knäckningsverktyg provar först. Vare sig du väljer en lösenfras eller ett lösenord måste styrkan komma från slumpmässighet och längd — inte från finurligt utseende utbyten.
Vanliga frågor
Är en lösenfras alltid säkrare än ett lösenord?
Nej. Båda är bara så starka som sin entropi. En slumpmässigt genererad lösenfras och ett slumpmässigt genererat lösenord kan båda vara mycket starka; självpåhittade varianter av endera tenderar att vara svaga.
Varför rekommenderas lösenfraser så ofta?
Eftersom de når hög entropi samtidigt som de förblir lättkomna och lätta att skriva. För hemligheter en människa måste minnas gör den användbarheten starka val praktiska.
Är ett längre lösenord bättre än ett kort komplext?
Generellt ja. Längd ökar antalet möjligheter snabbare än att byta in några symboler. Ett långt slumpmässigt lösenord eller en lösenfras med flera ord slår båda ett kort ”komplext”.
Vilket bör jag använda som huvudlösenord till min lösenordshanterare?
En lösenfras på sex eller fler slumpmässiga ord. Den har hög entropi och är lättkommen, vilket är precis vad ett huvudlösenord behöver.
Hjälper teckenutbyten som @ för a?
Knappt. Knäckningsverktyg förväntar sig de utbytena. Verklig styrka kommer från slumpmässighet och längd, så lägg till ett ord eller fler tecken i stället.