Jelszóerősség-mérő

// Jelszóerősség-mérő

A jelszava soha nem hagyja el a böngészőt. Az erősségelemzés teljes mértékben az eszközén történik. A szivárgás-ellenőrzés csak egy részleges hash-t küld — a tényleges jelszava soha nem kerül továbbításra.

Tippek

Használj legalább 12 karaktert

Keverj nagy- és kisbetűket, számokat és szimbólumokat

Használj egyedi jelszót minden fiókhoz

Biztonságos jelszógenerátor →

Hogyan mérik a jelszó erősségét

A jelszó erősségét entrópia-bitekben mérik – ez egy matematikai jelölés arra, hogy mennyire kiszámíthatatlan egy jelszó. A képlet figyelembe veszi a karakterkészlet méretét (kisbetűk, nagybetűk, számjegyek, szimbólumok), amelyet a jelszó hosszának hatványára emelnek. A magasabb entrópia több lehetséges kombinációt jelent, amelyet a támadónak ki kell próbálnia.

Például egy kizárólag kisbetűkből álló jelszó (26 karakter) karakterenként körülbelül 4,7 bit entrópiát ad. Nagybetűk hozzáadásával (összesen 52) ez 5,7 bitre nő. Számjegyek és szimbólumok beillesztésével (95+ karakter) minden egyes karakter körülbelül 6,6 bitet tesz hozzá. Egy 16 karakteres jelszó a teljes karakterkészlettel több mint 100 bit entrópiát eredményez – nyers erővel gyakorlatilag feltörhetetlen.

Ellenőrzés a Have I Been Pwned adatbázisban

Ez az eszköz k-anonimitás segítségével ellenőrzi a jelszavát a Have I Been Pwned adatbázisban, amely több mint 700 millió feltört jelszót tartalmaz. Csak az SHA-1 hash első 5 karaktere kerül elküldésre – a teljes jelszó soha nem hagyja el a böngészőt. Ha egyezés található, a jelszava szerepel egy ismert adatvédelmi incidensben, és azonnal meg kell változtatni.

GYIK

Mi az a jelszó-entrópia?

Az entrópia bitekben méri a jelszó kiszámíthatatlanságát. Minden egyes bit megduplázza a lehetséges kombinációk számát. Egy 60 bites entrópiával rendelkező jelszónak 2^60 (körülbelül 1 kvintillió) lehetséges kombinációja van, ami a nyers erőn alapuló támadásokat kivitelezhetetlenné teszi.

Hogyan védi az adatvédelmemet az adatvédelmi incidens ellenőrzése?

K-anonimitást alkalmazunk: a jelszava helyileg SHA-1 hash-elésen esik át, és csak a hash első 5 karaktere kerül elküldésre az API-nak. A szerver visszaadja az összes, ezzel az 5 karakterrel kezdődő hash-t, az összehasonlítás pedig teljes egészében a böngészőben történik.

Pontos a „feltörési idő" becslése?

Ez egy becslés, amely másodpercenként 10 milliárd találgatást feltételez (ez egy reális sebesség modern GPU-klaszterek esetén). A tényleges feltörési idő a támadás módszerétől, a hardvertől és attól függ, hogy a jelszó megfelel-e általános mintáknak.

A jelszavam nem szerepelt adatvédelmi incidensekben – biztonságos?

Nem feltétlenül. Ha a jelszó nem található meg, az csupán annyit jelent, hogy nem szerepelt ismert nyilvános adatvédelmi incidensekben. Ettől még sebezhető lehet szótáralapú támadásokkal, mintafelismeréssel vagy célzott találgatással szemben. Mindig törekedjen a magas entrópiára.