{"id":34,"date":"2026-06-10T12:35:23","date_gmt":"2026-06-10T12:35:23","guid":{"rendered":"https:\/\/shattered.io\/no\/2026\/06\/10\/passordsikkerhet\/"},"modified":"2026-06-10T13:35:45","modified_gmt":"2026-06-10T13:35:45","slug":"passordsikkerhet","status":"publish","type":"post","link":"https:\/\/shattered.io\/no\/security\/passordsikkerhet\/","title":{"rendered":"Passordsikkerhet: sterke passord, hashing og tofaktor"},"content":{"rendered":"

Hvorfor passord fortsatt betyr s\u00e5 mye<\/h2>\n

Passordet er den eldste og mest utbredte m\u00e5ten \u00e5 bevise hvem du er p\u00e5 nett. Til tross for at det finnes nyere alternativer, er passord fortsatt det f\u00f8rste forsvaret for de aller fleste kontoer du har. Et godt passord, kombinert med riktig oppsett, holder uvedkommende ute. Et d\u00e5rlig passord er en \u00e5pen d\u00f8r. Forskjellen mellom de to handler ikke om flaks, men om noen prinsipper som er enkle \u00e5 forst\u00e5 n\u00e5r man f\u00f8rst ser logikken bak dem.<\/p>\n

Denne artikkelen forklarer hva som faktisk gj\u00f8r et passord sterkt, hvorfor lengde betyr mer enn kompliserte tegn, hvordan tjenester b\u00f8r lagre passordene dine, og hvorfor en passordbehandler kombinert med tofaktorautentisering gj\u00f8r hverdagen b\u00e5de tryggere og enklere p\u00e5 \u00e9n gang.<\/p>\n

Hva gj\u00f8r et passord sterkt?<\/h2>\n

Det avgj\u00f8rende for hvor sterkt et passord er, handler om hvor vanskelig det er \u00e5 gjette, enten for et menneske eller for et program som pr\u00f8ver enormt mange kombinasjoner i sekundet. Et angrep som systematisk tester mulige passord, kalles ofte et r\u00e5styrkeangrep. Jo flere mulige kombinasjoner et passord kan v\u00e6re, desto lengre tid tar et slikt angrep, og desto sterkere er passordet.<\/p>\n

Lengde sl\u00e5r kompleksitet<\/h3>\n

Her er det viktigste poenget, og det overrasker mange: lengde betyr mer enn kompliserte tegn. Hvert ekstra tegn i et passord \u00f8ker antallet mulige kombinasjoner dramatisk. Et kort passord med store og sm\u00e5 bokstaver, tall og spesialtegn kan faktisk v\u00e6re lettere \u00e5 knekke enn et langt passord som bare best\u00e5r av vanlige ord.<\/p>\n

Grunnen er at den samlede styrken vokser mye raskere med lengde enn med variasjon. Et passord p\u00e5 \u00e5tte tegn har et begrenset antall muligheter uansett hvor mange tegntyper du blander inn. Et passord p\u00e5 tjue tegn har s\u00e5 mange muligheter at et r\u00e5styrkeangrep blir urealistisk, selv om det bare best\u00e5r av sm\u00e5 bokstaver. Derfor er en passfrase, alts\u00e5 flere tilfeldige ord satt sammen til en lang setning, ofte b\u00e5de sterkere og lettere \u00e5 huske enn et kort kaos av tegn.<\/p>\n

Tilfeldighet er n\u00f8kkelen<\/h3>\n

Lengde hjelper bare hvis passordet faktisk er uforutsigbart. Angripere bruker ikke bare ren r\u00e5styrke. De bruker ordlister, vanlige passord, kjente m\u00f8nstre og opplysninger om deg. Et langt passord som er forutsigbart, for eksempel et kjent sitat, et navn etterfulgt av et f\u00f8dsels\u00e5r eller en enkel rekke som tastaturm\u00f8nstre, er ikke trygt selv om det er langt. Den virkelige styrken kommer av at passordet er b\u00e5de langt og tilfeldig. Nettopp derfor er det vanskelig for et menneske \u00e5 lage gode passord p\u00e5 egen h\u00e5nd, og enda vanskeligere \u00e5 huske dem.<\/p>\n

Aldri gjenbruk<\/h3>\n

Selv et perfekt passord blir en svakhet hvis du bruker det flere steder. Lekker det ett sted, kan angripere pr\u00f8ve den samme kombinasjonen av e-post og passord mot mange andre tjenester. Dette er en av de vanligste m\u00e5tene kontoer kapres p\u00e5, og det forklares n\u00e6rmere i artikkelen om datalekkasjer<\/a>. Regelen er enkel: hvert nettsted skal ha sitt eget, unike passord.<\/p>\n

Hvorfor tjenester hasher og salter passord<\/h2>\n

N\u00e5r du oppretter en konto, skjer det noe viktig i bakgrunnen som du ikke ser. En seri\u00f8s tjeneste lagrer ikke passordet ditt slik du skrev det. \u00c5 lagre passord i klartekst er en alvorlig feil, fordi alle som f\u00e5r tak i databasen, da kan lese passordene direkte. I stedet lagrer tjenesten et avtrykk av passordet, laget med en kryptografisk hashfunksjon.<\/p>\n

Hva hashing inneb\u00e6rer<\/h3>\n

En hashfunksjon tar passordet ditt og regner ut en verdi med fast lengde som ikke lar seg regne baklengs til det opprinnelige passordet. N\u00e5r du senere logger inn, kj\u00f8res passordet du oppgir gjennom samme funksjon, og resultatet sammenlignes med det lagrede avtrykket. Stemmer de, slipper du inn. Tjenesten kan alts\u00e5 bekrefte at du kan passordet, uten selv \u00e5 oppbevare det i lesbar form. Hashing er et eget tema, og fundamentet bak det er beskrevet n\u00e6rmere i delen om kryptografi<\/a>.<\/p>\n

Hvorfor salt er n\u00f8dvendig<\/h3>\n

Hashing alene er ikke nok. Problemet er at det samme passordet alltid gir det samme avtrykket. Angripere kan derfor lage store forh\u00e5ndsberegnede tabeller med vanlige passord og deres hasher, og sl\u00e5 opp i dem for \u00e5 finne treff. For \u00e5 hindre dette legger tjenesten til en tilfeldig verdi, kalt salt, f\u00f8r passordet hashes. Saltet er unikt for hver bruker. Det gj\u00f8r at to personer med samme passord likevel f\u00e5r helt ulike avtrykk, og det gj\u00f8r forh\u00e5ndsberegnede tabeller ubrukelige, fordi angriperen m\u00e5tte laget en egen tabell for hvert eneste salt.<\/p>\n

Bevisst trege funksjoner<\/h3>\n

Til passordlagring bruker gode tjenester spesialiserte funksjoner som er laget for \u00e5 v\u00e6re bevisst trege. Det h\u00f8res rart ut \u00e5 ville ha noe tregt, men poenget er forsvar. For deg som logger inn \u00e9n gang, spiller noen br\u00f8kdeler av et sekund ingen rolle. For en angriper som pr\u00f8ver milliarder av gjetninger, blir hver gjetning s\u00e5 dyr at angrepet bremses kraftig. Kombinasjonen av salt og en bevisst treg funksjon er det som gj\u00f8r at selv en lekket passorddatabase ikke n\u00f8dvendigvis betyr at passordene umiddelbart er tapt.<\/p>\n

Som bruker styrer du ikke hvordan en tjeneste lagrer passordet ditt. Men det er nyttig \u00e5 forst\u00e5 at sikkerheten din delvis avhenger av valg tjenesten tar i bakgrunnen, og at et sterkt, unikt passord beskytter deg selv om tjenestens lagring ikke skulle v\u00e6re p\u00e5 topp.<\/p>\n

Passordbehandlere<\/h2>\n

N\u00e5r r\u00e5dene er at hvert passord skal v\u00e6re langt, tilfeldig og unikt, blir det fort umulig \u00e5 huske dem. Ingen klarer \u00e5 holde styr p\u00e5 dusinvis av lange, tilfeldige passord i hodet. L\u00f8sningen er en passordbehandler, og den l\u00f8ser problemet s\u00e5 godt at den er det enkeltverkt\u00f8yet som har st\u00f8rst effekt p\u00e5 passordsikkerheten din.<\/p>\n

En passordbehandler er et program som lagrer alle passordene dine i et kryptert hvelv. Den kan lage nye, lange og tilfeldige passord for deg, fylle dem inn automatisk n\u00e5r du logger inn, og synkronisere dem mellom enhetene dine. Du trenger bare \u00e5 huske ett eneste passord: hovedpassordet som l\u00e5ser opp hvelvet. Alt det andre overlater du til programmet.<\/p>\n

Fordelene er flere. Du f\u00e5r sterke, unike passord overalt uten \u00e5 m\u00e5tte finne p\u00e5 dem selv. Du slipper \u00e5 gjenbruke passord, fordi det ikke lenger koster deg noe \u00e5 ha et nytt per tjeneste. Mange passordbehandlere fyller dessuten bare inn passordet p\u00e5 det riktige nettstedet, noe som gir en innebygd beskyttelse mot phishing: fors\u00f8ker et forfalsket nettsted \u00e5 lure deg, vil behandleren ikke kjenne igjen adressen og lar v\u00e6re \u00e5 fylle inn.<\/p>\n

Det viktigste n\u00e5r du bruker en passordbehandler, er at hovedpassordet er sterkt, gjerne en lang passfrase, og at du beskytter selve behandleren med tofaktorautentisering. Dette ene passordet l\u00e5ser jo opp alt det andre, s\u00e5 det fortjener ekstra omtanke. Til gjengjeld er det det eneste du trenger \u00e5 huske.<\/p>\n

Tofaktorautentisering<\/h2>\n

Selv det beste passordet kan lekke. Tofaktorautentisering, ofte kalt 2FA, gir et ekstra lag som gj\u00f8r at et lekket passord ikke er nok til \u00e5 komme inn. Id\u00e9en er \u00e5 kreve to ulike typer bevis: noe du vet, alts\u00e5 passordet, og noe du har, for eksempel telefonen din eller en fysisk sikkerhetsn\u00f8kkel.<\/p>\n

I praksis betyr det at du etter \u00e5 ha skrevet inn passordet ogs\u00e5 m\u00e5 bekrefte med en annen faktor. Det finnes flere varianter. En kode fra en autentiseringsapp p\u00e5 telefonen er et godt og vanlig valg. En fysisk sikkerhetsn\u00f8kkel regnes som enda sterkere, blant annet fordi den er motstandsdyktig mot phishing. Koder sendt p\u00e5 SMS er bedre enn ingenting, men regnes som den svakeste varianten, fordi de i visse tilfeller kan fanges opp eller omdirigeres.<\/p>\n

Effekten er stor. En angriper som har f\u00e5tt tak i passordet ditt gjennom en lekkasje eller et phishing-fors\u00f8k, st\u00e5r likevel uten den andre faktoren og kommer ikke inn. Derfor er anbefalingen tydelig: sl\u00e5 p\u00e5 tofaktorautentisering overalt der det tilbys, og prioriter de viktigste kontoene f\u00f8rst, s\u00e6rlig e-post og bank. E-postkontoen er ekstra kritisk, fordi den ofte brukes til \u00e5 tilbakestille passord p\u00e5 alle andre tjenester. Faller den, faller mye annet med den.<\/p>\n

Det enkle oppsettet som dekker det meste<\/h2>\n

Passordsikkerhet kan virke overveldende, men det koker ned til noen f\u00e5 vaner som henger sammen. Bruk en passordbehandler, og la den lage lange, tilfeldige og unike passord til hver tjeneste. Beskytt selve behandleren med en sterk passfrase og tofaktorautentisering. Sl\u00e5 p\u00e5 tofaktor p\u00e5 alle viktige kontoer ellers. Med dette p\u00e5 plass har du dekket det aller meste av risikoen, og du har gjort hverdagen enklere p\u00e5 kj\u00f8pet, fordi du ikke lenger trenger \u00e5 huske noe annet enn det ene hovedpassordet.<\/p>\n

\n

Kilder<\/h2>\n