Denne artikel bygger på offentligt tilgængelig cybersikkerhedsforskning, industrirapporter og bredt accepteret sikkerhedspraksis. Hvor personlig erfaring er nævnt, er det eksplicit angivet.
Et databrud de fleste glemte — men ikke burde
I 2012 blev LinkedIn ramt af det, der på det tidspunkt var et af historiens største databrud. Senere analyser viste, at omkring 167 millioner kontoposter blev eksponeret, og cirka 117 millioner af dem inkluderede e-mailadresser og adgangskode-hashes.
Da sikkerhedsteams undersøgte de knækkede adgangskoder, var resultaterne smerteligt bekendte. password1, linkedin123 og lignende dovne valg dukkede op i millionvis. Mere interessant — og mere bekymrende — faldt selv adgangskoder, der så smarte ud, såsom L!nk3d1n2020, hurtigt. Hvorfor? Fordi de fulgte mønstre, som mennesker næsten altid bruger.
Jeg har brugt over femten år på at arbejde med penetrationstest inden for cybersikkerhed. Mit job er at bryde ind i systemer — lovligt — ved at bruge de samme metoder, som rigtige angribere stoler på. Adgangskoder er ikke et teoretisk emne for mig; de er noget, jeg ser fejle i praksis hver eneste dag.
Hvordan adgangskoder faktisk bliver angrebet
For at forstå, hvorfor nogle adgangskoder overlever og andre ikke, er du nødt til at se det fra angriberens side. Angribere sidder ikke og gætter adgangskoder én efter én. De automatiserer alt.
- Ordbogsangreb (Dictionary Attacks): Disse stoler på massive samlinger af rigtige adgangskoder, ord, sætninger og variationer indsamlet fra års databrud. Disse ordbøger indeholder milliarder af poster og bliver ved med at vokse.
- Regelbaserede angreb (Rule-Based Attacks): Disse er ødelæggende effektive mod menneskelig kreativitet. Værktøjer anvender automatisk almindelige vaner: udskiftning af "o" med "0", tilføjelse af "123" eller "!" til sidst, store bogstaver i starten, indsættelse af et årstal, og så videre. De fleste "smarte" adgangskoder falder lige her.
- Brute Force: At prøve enhver mulig kombination. Dette lyder skræmmende, men mod lange, virkelig tilfældige adgangskoder gemt med moderne hashing-algoritmer, bliver brute force hurtigt upraktisk, simpelthen fordi det tager for lang tid.
Problemet med selvskabte adgangskoder
Vi kan lide adgangskoder, vi selv opfinder, fordi de føles personlige og mindeværdige. Desværre viser forskning — og erfaring — at de også er meget forudsigelige.
- Mønstre gentager sig: Storstilede undersøgelser, herunder arbejde fra Carnegie Mellon University, viser konsekvent de samme strukturer: et ord eller navn, et stort bogstav i starten og tal eller symboler til sidst. Indholdet ændrer sig, men formen forbliver den samme. Når angribere modellerer den struktur, bliver knækning dramatisk hurtigere.
- Længden rammer et loft: De fleste brugerskabte adgangskoder ligger mellem 8 og 10 tegn. Ikke fordi folk ikke ved, at længere er sikrere, men fordi hukommelsen skubber os mod kortere strenge.
- Personlige oplysninger siver ind: Fødselsdage, navn på kæledyr, jubilæer — folk bruger dem konstant. Og i en tid med sociale medier behøver angribere ofte ikke engang at gætte.
Hvorfor tilfældige adgangskoder spiller et andet spil
En adgangskode skabt af en sikker tilfældig adgangskodegenerator — noget som r8$NpL#2qW9 — er ikke bare "mere kompleks". Den er fundamentalt anderledes.
Hvert tegn vælges uafhængigt. Der er ingen ord, ingen erstatninger, ingen menneskelig logik. Den enkelte kendsgerning fjerner angriberens mest kraftfulde værktøjer: ordbøger og regler.
Fra et talperspektiv:
- En adgangskode på 8 tegn, der kun bruger små bogstaver, har omkring 26⁸ muligheder (~209 milliarder).
- Tilføj store bogstaver, tal og symboler, og du er pludselig omkring 95⁸ (~6 billiarder).
- Skub det til 12 tegn, og rummet bliver astronomisk stort.
Men den virkelige fordel er ikke kun størrelsen — det er, at tilfældige adgangskoder tvinger angribere til brute force, hvilket er langsomt, dyrt og ofte ikke indsatsen værd.
Hvordan knækning af disse adgangskoder ser ud i praksis
Fra en penetrationstesters synspunkt er forskellen skarp:
| Adgangskodetype | Eksempel | Angribermetode | Tid til at knække |
| :--- | :--- | :--- | :--- |
| Selvskabt | Tiger2021! | Ordbog & Regelbaseret | Minutter til Timer |
| Tilfældigt genereret | r8$NpL#2qW9 | Ren Brute Force | År / Århundreder |
Hvis adgangskoden er korrekt hashed med noget som bcrypt eller Argon2, indebærer brute force mod den tilfældige streng en tidsramme, der gør angrebet umuligt. I de fleste virkelige tilfælde går angriberen simpelthen videre.
Den virkelige afvejning: Mennesker vs. Tilfældighed
Den største svaghed ved tilfældige adgangskoder er ikke sikkerhed — det er brugervenlighed. Mennesker er forfærdelige til at huske meningsløse strenge. Det er den centrale spænding i adgangskodesikkerhed:
- Adgangskoder, som mennesker husker godt, har tendens til at være svage.
- Adgangskoder, der er stærke, har tendens til at være umulige at huske.
Moderne sikkerhedspraksis findes for at bygge bro over den kløft.
Hvad der faktisk virker i dag
Baseret på industrikonsensus og erfaring fra den virkelige verden:
- Brug en Adgangskodeadministrator: Værktøjer som Bitwarden eller 1Password lader dig stole på en enkelt stærk hovedadgangskode, mens alt andet er langt, tilfældigt og unikt. Dette anses bredt for at være den bedste mulighed for de fleste mennesker.
- Hvis du skal huske, brug længde: En streng af urelaterede ord (f.eks.
coffee-zebra-battery-stapler) er ofte mere modstandsdygtig over for angreb — og lettere at huske — end en kort, symboltung adgangskode. - Genbrug aldrig adgangskoder: Når ét websted er brudt, forvandler genbrug det til en dominoeffekt.
- Aktiver MFA: E-mail, bankvirksomhed, cloud-konti — brug altid multifaktorgodkendelse.
- Tjek eksponering for brud: Tjenester som Have I Been Pwned giver dig mulighed for at se, om din e-mail optræder i kendte datasæt over brud.
Afsluttende tanker
Dette er ikke en filosofisk debat om, hvorvidt mennesker eller maskiner laver "bedre" adgangskoder. Det handler om risikostyring.
Computere er gode til at generere tilfældighed. Mennesker er gode til at beskytte en enkelt hemmelighed og reagere på prompter som MFA. Den sikreste tilgang er at lade hver gøre det, den er bedst til.
Klar til at opgradere din sikkerhed? Generer en stærk offline adgangskode nu for at beskytte dine konti med det samme.