Formularer

Passwordstyrke-måler

En passwordstyrke-måler giver realtidsfeedback på en adgangskodes styrke, mens den skrives — typisk som en bjælke og en kort tekst — for at nudge brugeren mod noget sværere at gætte uden at blokere oprettelsen. Moderne målere scorer den reelle gætbarhed frem for blot at tælle tegntyper.

4 min læsning

Definition

En passwordstyrke-måler vurderer kodeordet i realtid og viser en visuel indikator plus konkrete forslag.

Hvorfor det virker

Studiedata: målere fik brugere til at lave længere adgangskoder — men reel modstand mod cracking krævede, at måleren scorede stringent. Carnegie Mellon-studiet omfattede 2.931 deltagere og 14 forskellige målere.2

De stringente målere gav målbart bedre modstand mod cracking, uden at koderne blev mindre huskbare eller brugbare — de blev cracket i lavere grad af simulerede angribere.2

Kombinationen af en visuel indikator og tekst slog hver del alene, mens selve det visuelle udseende betød lidt. Prioritér derfor konkret, tekstuel vejledning frem for kun en farvet bjælke.2

Den mest stringente måler irriterede brugerne uden at give ekstra sikkerhed ud over en lidt mindre streng måler. Der er altså et optimum: streng nok til at rykke adfærd, ikke så streng, at den frustrerer.2

Vejledning: score den reelle gætbarhed. En estimator som zxcvbn genkender almindelige adgangskoder, navne, datoer, gentagelser, tastatur-mønstre og »l33t« og giver målrettet, verbal feedback mod mindre gætbare koder.3

Hvornår du bruger det — og hvornår ikke

Hvornår du bruger det

  • Kontosikkerhed er vigtig, og du vil nudge mod stærke kodeord.
  • Brugere har gavn af konkret feedback frem for skjulte regler.

Hvornår du bør undgå det

  • Login sker via SSO eller magisk link uden kodeord.
  • Måleren giver falsk tryghed uden reelle krav bagved.

Best practices

  1. Score reel styrke, ikke blot tegnsammensætning

    Brug en zxcvbn-lignende estimator, der fanger ordbogsord, navne, datoer og tastatur-mønstre. En »P@ssw0rd1« opfylder alle regler, men crackes hurtigt.3

  2. Giv konstruktiv, konkret feedback — ikke kun en bjælke

    Fx »undgå at slutte med et tal« eller »tilføj endnu et ord«. Visuel indikator plus tekst virker bedst.2

  3. Tillad lange adgangssætninger

    Understøt mindst 64 tegn inkl. mellemrum. NIST SP 800-63B (Rev. 4) anbefaler at tillade en maksimal længde på mindst 64 tegn.1

  4. Blokér ikke på vilkårlige sammensætningsregler

    NIST fastslår, at man ikke skal påtvinge regler om blandede tegntyper — de giver blot forudsigelige mønstre som »Password1!«.1

  5. Tjek mod kendte, kompromitterede adgangskoder

    NIST kræver, at nye koder sammenlignes med en blokliste over kendte, hyppige eller lækkede adgangskoder.1

  6. Tillad »vis adgangskode« og indsæt (paste)

    NIST anbefaler begge dele, og NN/g viser, at skjulte felter giver flere tastefejl. Det understøtter lange koder og password-managere.14

  7. Tving ikke periodisk skift

    NIST siger direkte, at man ikke skal kræve periodisk skift — skift kun ved mistanke om kompromittering.1

Typiske fejl

  • Kun tegntyper-tælling (LUDS)

    Belønner »P@ssw0rd!« som stærk, selvom den crackes let. Brug en gætbarhedsscore i stedet.

  • Bjælke uden vejledning

    En farve alene fortæller ikke, hvordan man forbedrer koden. Tekst plus bjælke virker bedst.

  • For streng eller blokerende måler

    Irriterer uden ekstra sikkerhed og kan skubbe brugere mod mønstre eller frafald.

  • Maskering uden vis-knap og blokeret paste

    Øger tastefejl og modarbejder password-managere — i strid med NIST’s anbefalinger.

  • Sammensætningsregler og periodisk skift

    Begge dele er i direkte strid med NIST 800-63B (Rev. 4).

Eksempler i praksis

Dropbox zxcvbn

Dropbox udviklede og udgav zxcvbn som styrke-estimator — open source og bredt genbrugt på tværs af web til at score reel gætbarhed og give konkret feedback.

NIST-baseret moderne login

Moderne login-flows følger NIST 800-63B: lange adgangssætninger, ingen tvungne sammensætningsregler, tjek mod lækkede koder, og »vis adgangskode« + paste tilladt.

Ofte stillede spørgsmål

Hvad er en passwordstyrke-måler?

Et element, der viser, hvor stærk din adgangskode er, mens du skriver den — ofte som en farvet bjælke og en kort tekst. Formålet er at hjælpe dig med at vælge en kode, der er svær at gætte.

Gør styrkemålere reelt adgangskoderne stærkere?

Ja, under de rette betingelser. Et Carnegie Mellon-studie med 2.931 deltagere fandt, at målere fik folk til at lave længere koder — men reel modstand mod cracking krævede, at måleren scorede stringent. En for mild måler flyttede stort set ingenting.

Skal jeg kræve store bogstaver, tal og symboler?

Nej. NIST fraråder tvungne sammensætningsregler. Det, der tæller, er den samlede gætbarhed: længde og at undgå ordbogsord, navne, datoer og tastatur-mønstre. Værktøjer som zxcvbn måler netop dette.

Bør vi tillade »vis adgangskode« og indsæt (paste)?

Ja. NIST anbefaler begge dele, og NN/g viser, at skjulte felter giver flere tastefejl. Vis-knap og paste gør det lettere at bruge lange koder og password-managere — uden at gå på kompromis med sikkerheden.

Hvor lang må en adgangskode være?

Tillad mindst 64 tegn inkl. mellemrum, så brugere kan bruge lange adgangssætninger. NIST 800-63B (Rev. 4) anbefaler dette som minimum for maksimal længde.

Bør vi tvinge brugere til at skifte kode jævnligt?

Nej. NIST siger direkte, at man ikke skal kræve periodisk skift; skift kun ved mistanke om kompromittering. Tjek i stedet nye koder mod lister over kendte, lækkede adgangskoder.

Kilder

  1. NIST SP 800-63B: Digital Identity Guidelines (Rev. 4, §3.1.1.2)NIST (2025)
  2. How Does Your Password Measure Up? The Effect of Strength MetersUr et al., Carnegie Mellon University · USENIX Security (2012)
  3. zxcvbn: Low-Budget Password Strength EstimationDropbox (Dan Wheeler) · USENIX Security (2016)
  4. Stop Password MaskingJakob Nielsen, Nielsen Norman Group (2009)