Sitat av
HystericalCat
Det er ikke helt sikkert at æøå vil fungere, nei. Det avhenger av hvilket character set (charset) som blir brukt. Hvis det er ISO-8859-1, så vil ikke æøå fungere. Dersom utviklerne av nettstedet husker på denne utfordringen og bruker f.eks. UTF-8 istedenfor, da vil æøå fungere i passord.
Du finner ÆØÅæøå i ISO-8559-1 (latin1) også. Problemet her er at f.eks. "æ" er representert som 0xe6 i latin1 og 0xc3 0xa6 i utf8. Så man må holde tunga beint i munnen og passe på at input behandles likt hele veien inn. Hvis man får inn utf8-representasjonen og dekoder som latin1 får man den velkjente "æ" i stedet for "æ".
Det er ikke til å stikke under en stol at veldig, veldig mange nettsteder ikke takler dette så bra. Faktisk såpass mange at jeg ikke helt ser poenget i forsøke. Jeg setter i stedet passord-manageren til å generere et ekstra langt passord, og ofte treffer jeg på begrensninger på både lengde og hvilke tegn de støtter i passordene sine også.
Med det sagt så øker sikkerheten ganske betraktelig ved å ta i bruk spesielle tegn og bokstaver når man kan. Men det er hovedsakelig i situasjoner hvor et lekket passord kan gjenbrukes andre steder. Lekkede databaser med hashede passord kan knekkes via brute-force, men det er sjeldent at disse verktøyene settes til å bruke flere bokstaver og tegn enn ASCII. Kripos kjørte en konkurranse for noen år siden, hvor en av oppgavene gikk ut på å cracke en MD5-hash der passordet viste seg å være "rør123", og nesten ingen lag klarte å løse den. Det sier litt. Man må gå målrettet inn for å knekke slike.
Bruk i stedet lange, tilfeldige passord generert av Bitwarden/Lastpass/whatever. Betydelig mindre sjanse for at noe brekker når en random nettside redesigner front-end og glemmer at det finnes mer enn ASCII.