Jämförelser mellan bra och dåliga lösenord

Mattias Sjödin IT-Säkerhet

Riktlinjer för lösenord i all ära – men hur ser det ut i praktiken? Vad skiljer ett bra lösenord från ett dåligt? Hur lätt är lösenorden att knäcka eller att gissa sig till?

Jämförda lösenord

Jag har valt ut tio lösenord att testa i några olika lösenordstestare. Ett par personnamn, fyra extremt vanliga och fyra slumpmässiga och mer komplexa – alla är minst 6 tecken långa dock eftersom det ofta är ett minimikrav.

Tid för att knäcka

LösenordTid (minuter)Tid (år)
Emilia00
Daniel00
12345600
qwerty00
password00
Sommar2,870
hwejzl11,040
HmBSQnoE1314000,25
uf&WMI5Qa#9986400001900
6Jv&=oKb2rA?10512000000000002 miljarder
Källa: my1 login Password Strength Meter

Skillnaden är som du ser brutalt stor. Och det är också här man kan dra strecket mellan ett starkt och ett svagt lösenord. De som tar ett kvartal eller mer att knäcka är att betrakta som tillräckligt starka för de flesta.

Förekomst i databas över läckta lösenord

En av de största farorna med att välja vanligt förekommande lösenord så som ord och namn är att de ofta finns i databaser över läckta lösenord och det är just sådana databaser som hackare använder sig av när lösenord ska knäckas.

LösenordFinns i databas(er)
EmiliaJa, 1356 gånger
DanielJa, 22729 gånger
123456Ja, 24 230 577 gånger
qwertyJa, 3 993 346 gånger
passwordJa, 3 861 493 gånger
SommarJa, 258 gånger
hwejzlNej
HmBSQnoENej
uf&WMI5Qa#Nej
6Jv&=oKb2rA?Nej
Källa: Kaspersky Password Checker

Fler exempel på svenska ord som finns med i lösenordsdatabaser är lösenord, kungen, drottningen, mamma, hejhej, gnaget, bajjen, hejsan och kalleanka. Även varianter på Sommar så som Sommar2020 finns i databaserna…

Råd när du ska välja lösenord

  • Välj inte ett ord eller namn i helhet eller till del.
  • Byt inte ut enskilda tecken mot siffror (t. ex. s mot 5, t mot 7, i mot 1, o mot 0 osv.). T. ex. finns S0mmar med 5 gånger i databaser över läckta lösenord.
  • Hellre ett kortare slumpmässigt än ett långt välkänt. Hb2?4y&9 är alltså bättre än Sommar2021 då det senare sannolikt kommer hamna i lösenordsdatabaser.
  • Låt lösenordet bestå av minst 8 tecken.
  • Ha med minst:
    • en gemen
    • en VERSAL
    • en siffra
    • en symbol

Läs mer: Vad är ett starkt lösenord?

Mattias Sjödin

Jag arbetar till vardags som CISO inom finansvärlden med bakgrund både som CISO inom IT-branchen och som konsult inom informations- och cybersäkerhet, med bevisad kompetens och erfarenhet i ryggen genom bland annat CISA- och CISSP-certifieringar. Privat grottar jag gärna ner mig i hemautomation och allt som hör till. Jag kör Home Assistant (supervised), och blandar friskt mellan enheter som kör Zigbee, Z-Wave, 433MHz och Wi-Fi. Att leka med microcontrollers som kör ESPhome och Tasmota är hur kul som helst.