Formularer
Passwordstyrke-måler
En passwordstyrke-måler giver realtidsfeedback på en adgangskodes styrke, mens den skrives — typisk som en bjælke og en kort tekst — for at nudge brugeren mod noget sværere at gætte uden at blokere oprettelsen. Moderne målere scorer den reelle gætbarhed frem for blot at tælle tegntyper.
Definition
En passwordstyrke-måler vurderer kodeordet i realtid og viser en visuel indikator plus konkrete forslag.
Hvorfor det virker
Studiedata: målere fik brugere til at lave længere adgangskoder — men reel modstand mod cracking krævede, at måleren scorede stringent. Carnegie Mellon-studiet omfattede 2.931 deltagere og 14 forskellige målere.2
De stringente målere gav målbart bedre modstand mod cracking, uden at koderne blev mindre huskbare eller brugbare — de blev cracket i lavere grad af simulerede angribere.2
Kombinationen af en visuel indikator og tekst slog hver del alene, mens selve det visuelle udseende betød lidt. Prioritér derfor konkret, tekstuel vejledning frem for kun en farvet bjælke.2
Den mest stringente måler irriterede brugerne uden at give ekstra sikkerhed ud over en lidt mindre streng måler. Der er altså et optimum: streng nok til at rykke adfærd, ikke så streng, at den frustrerer.2
Vejledning: score den reelle gætbarhed. En estimator som zxcvbn genkender almindelige adgangskoder, navne, datoer, gentagelser, tastatur-mønstre og »l33t« og giver målrettet, verbal feedback mod mindre gætbare koder.3
Hvornår du bruger det — og hvornår ikke
Hvornår du bruger det
- Kontosikkerhed er vigtig, og du vil nudge mod stærke kodeord.
- Brugere har gavn af konkret feedback frem for skjulte regler.
Hvornår du bør undgå det
- Login sker via SSO eller magisk link uden kodeord.
- Måleren giver falsk tryghed uden reelle krav bagved.
Best practices
Score reel styrke, ikke blot tegnsammensætning
Brug en zxcvbn-lignende estimator, der fanger ordbogsord, navne, datoer og tastatur-mønstre. En »P@ssw0rd1« opfylder alle regler, men crackes hurtigt.3
Giv konstruktiv, konkret feedback — ikke kun en bjælke
Fx »undgå at slutte med et tal« eller »tilføj endnu et ord«. Visuel indikator plus tekst virker bedst.2
Tillad lange adgangssætninger
Understøt mindst 64 tegn inkl. mellemrum. NIST SP 800-63B (Rev. 4) anbefaler at tillade en maksimal længde på mindst 64 tegn.1
Blokér ikke på vilkårlige sammensætningsregler
NIST fastslår, at man ikke skal påtvinge regler om blandede tegntyper — de giver blot forudsigelige mønstre som »Password1!«.1
Tjek mod kendte, kompromitterede adgangskoder
NIST kræver, at nye koder sammenlignes med en blokliste over kendte, hyppige eller lækkede adgangskoder.1
Tving ikke periodisk skift
NIST siger direkte, at man ikke skal kræve periodisk skift — skift kun ved mistanke om kompromittering.1
Typiske fejl
Kun tegntyper-tælling (LUDS)
Belønner »P@ssw0rd!« som stærk, selvom den crackes let. Brug en gætbarhedsscore i stedet.
Bjælke uden vejledning
En farve alene fortæller ikke, hvordan man forbedrer koden. Tekst plus bjælke virker bedst.
For streng eller blokerende måler
Irriterer uden ekstra sikkerhed og kan skubbe brugere mod mønstre eller frafald.
Maskering uden vis-knap og blokeret paste
Øger tastefejl og modarbejder password-managere — i strid med NIST’s anbefalinger.
Sammensætningsregler og periodisk skift
Begge dele er i direkte strid med NIST 800-63B (Rev. 4).
Eksempler i praksis
Dropbox zxcvbn
Dropbox udviklede og udgav zxcvbn som styrke-estimator — open source og bredt genbrugt på tværs af web til at score reel gætbarhed og give konkret feedback.
NIST-baseret moderne login
Moderne login-flows følger NIST 800-63B: lange adgangssætninger, ingen tvungne sammensætningsregler, tjek mod lækkede koder, og »vis adgangskode« + paste tilladt.
Ofte stillede spørgsmål
Hvad er en passwordstyrke-måler?
Et element, der viser, hvor stærk din adgangskode er, mens du skriver den — ofte som en farvet bjælke og en kort tekst. Formålet er at hjælpe dig med at vælge en kode, der er svær at gætte.
Gør styrkemålere reelt adgangskoderne stærkere?
Ja, under de rette betingelser. Et Carnegie Mellon-studie med 2.931 deltagere fandt, at målere fik folk til at lave længere koder — men reel modstand mod cracking krævede, at måleren scorede stringent. En for mild måler flyttede stort set ingenting.
Skal jeg kræve store bogstaver, tal og symboler?
Nej. NIST fraråder tvungne sammensætningsregler. Det, der tæller, er den samlede gætbarhed: længde og at undgå ordbogsord, navne, datoer og tastatur-mønstre. Værktøjer som zxcvbn måler netop dette.
Bør vi tillade »vis adgangskode« og indsæt (paste)?
Ja. NIST anbefaler begge dele, og NN/g viser, at skjulte felter giver flere tastefejl. Vis-knap og paste gør det lettere at bruge lange koder og password-managere — uden at gå på kompromis med sikkerheden.
Hvor lang må en adgangskode være?
Tillad mindst 64 tegn inkl. mellemrum, så brugere kan bruge lange adgangssætninger. NIST 800-63B (Rev. 4) anbefaler dette som minimum for maksimal længde.
Bør vi tvinge brugere til at skifte kode jævnligt?
Nej. NIST siger direkte, at man ikke skal kræve periodisk skift; skift kun ved mistanke om kompromittering. Tjek i stedet nye koder mod lister over kendte, lækkede adgangskoder.
Kilder
Relaterede mønstre
Udforsk videre
Inline-validering
Validér mens brugeren skriver — ikke først ved submit.
Se mønster →Multi-step-formular
Bryd lange formularer op i et guidet forløb med fremskridt.
Se mønster →Social login
Lad brugeren logge ind med Google, Apple eller Facebook i stedet for at oprette endnu et password — hurtigere, men med et par vigtige faldgruber.
Se mønster →