Keamanan Kata Sandi: Mengapa Kebanyakan Kata Sandi Lemah dan Cara Membuat yang Kuat

Banyak orang menggunakan kata sandi lemah tanpa menyadarinya. Pelajari apa yang membuat kata sandi kuat, cara memeriksanya secara instan, dan membuat yang tak bisa ditembus — semuanya secara privat di browser Anda.

Jika Anda menggunakan kata sandi seperti password123, qwerty, atau nama hewan peliharaan Anda diikuti tahun lahir, Anda tidak sendirian — tetapi Anda berada dalam risiko serius. Sebuah studi tahun 2023 oleh NordPass menemukan bahwa kata sandi paling umum di dunia masih "123456", digunakan oleh lebih dari 4,5 juta orang. Menurut Google, 65% orang menggunakan kembali kata sandi yang sama di beberapa situs. Ini adalah kesalahan keamanan terbesar yang bisa Anda lakukan secara online.

Panduan ini menjelaskan secara tepat apa yang membuat kata sandi lemah atau kuat, bagaimana penyerang membobolnya, dan bagaimana Anda dapat melindungi diri — menggunakan alat gratis yang berjalan sepenuhnya di browser Anda tanpa data apa pun yang pernah dikirim ke server.

Kata Sandi Paling Umum — Apakah Milik Anda Ada di Daftar Ini?

Setiap tahun, peneliti keamanan menganalisis miliaran kredensial yang bocor dari pelanggaran data. Hasilnya secara konsisten mengkhawatirkan. Berikut adalah pelanggar terbesar yang muncul di hampir setiap basis data pelanggaran:

123456 / 12345678 / 123456789
password / password1 / Password123
qwerty / qwerty123 / qwertyuiop
iloveyou / letmein / welcome
admin / root / user / login
abc123 / 111111 / 000000
monkey / dragon / master / sunshine

Peringatan: Jika ada kata sandi Anda yang muncul di daftar ini atau mirip dengannya, segera ganti. Kata sandi ini adalah yang pertama dicoba oleh setiap penyerang, dan alat otomatis dapat menguji semuanya dalam waktu kurang dari satu detik.

Yang sangat berbahaya adalah banyak orang percaya mereka pintar dengan mengganti huruf dengan angka — menulis p@ssw0rd alih-alih password. Penyerang juga tahu trik ini. Alat pembobolan modern menyertakan "aturan mangling" yang secara otomatis menerapkan substitusi ini ke setiap kata dalam kamus mereka.

Apa yang Membuat Kata Sandi Lemah?

Kelemahan kata sandi berasal dari keterdugaan. Sebuah kata sandi lemah ketika penyerang dapat menebaknya lebih cepat daripada mencoba setiap kemungkinan kombinasi. Penyebab utamanya adalah:

1. Panjang yang Pendek

Panjang adalah faktor terpenting tunggal dalam kekuatan kata sandi. Kata sandi 6 karakter yang hanya menggunakan huruf kecil hanya memiliki 308 juta kemungkinan kombinasi — GPU modern dapat menghabiskannya dalam waktu kurang dari satu detik. Kata sandi 8 karakter dengan campuran huruf besar/kecil dan angka memiliki 218 triliun kombinasi, yang terdengar mengesankan, tetapi perangkat pembobolan modern yang berjalan pada miliaran tebakan per detik masih dapat membobolnya dalam hitungan menit.

2. Kata-kata Kamus

Kata nyata apa pun dalam bahasa apa pun langsung rentan terhadap serangan kamus. Ini termasuk kata-kata dengan substitusi yang jelas (3 untuk e, 0 untuk o, @untuk a) dan kata-kata dengan angka yang ditambahkan di akhir (monkey1, dragon99). Penyerang memiliki kamus dengan ratusan juta variasi ini yang sudah dihitung sebelumnya.

3. Informasi Pribadi

Nama, tanggal lahir, hari jadi, nama hewan peliharaan, dan tim olahraga favorit adalah bahan kata sandi yang sangat umum. Jika penyerang tahu apa pun tentang Anda — hanya dari profil media sosial Anda — mereka dapat membuat daftar kata yang ditargetkan dan secara dramatis mengurangi waktu yang dibutuhkan untuk membobol kata sandi Anda.

4. Pola dan Keyboard Walk

Urutan seperti qwerty, asdfgh, 1qaz2wsx, atau zxcvbn adalah pola keyboard yang diuji oleh pembobol dalam beberapa detik pertama. Mereka tidak memerlukan kecerdasan tambahan untuk ditebak — hanya pengetahuan tentang tata letak keyboard.

Bagaimana Pembobolan Kata Sandi Sebenarnya Bekerja

Memahami bagaimana penyerang membobol kata sandi membantu Anda memahami mengapa praktik tertentu benar-benar melindungi Anda dan mengapa yang lain hanya terasa aman.

Serangan Brute Force

Serangan brute force mencoba setiap kemungkinan kombinasi karakter sampai menemukan yang benar. Untuk kata sandi pendek, ini sangat cepat. Untuk yang lebih panjang, waktunya tumbuh secara eksponensial. Kata sandi 12 karakter yang menggunakan huruf besar, huruf kecil, angka, dan simbol memiliki sekitar 19 septiliun kemungkinan kombinasi — pada satu miliar tebakan per detik, itu akan memakan waktu lebih dari 600 tahun untuk benar-benar menghabiskan semuanya. Inilah kekuatan panjang.

Serangan Kamus

Alih-alih mencoba setiap kombinasi, serangan kamus menggunakan daftar kata sandi yang diketahui, kata umum, dan kredensial yang bocor dari pelanggaran sebelumnya yang sudah dibangun sebelumnya. Daftar kata RockYou saja — bocor pada tahun 2009 — berisi 14 juta kata sandi dan masih menjadi titik awal untuk sebagian besar sesi pembobolan hari ini. Jika kata sandi Anda pernah digunakan oleh siapa pun sebelumnya dan muncul dalam pelanggaran, kata sandi itu ada di suatu kamus.

Rainbow Table

Ketika situs web menyimpan kata sandi, mereka seharusnya menyimpannya sebagai hash kriptografis — bukan kata sandi yang sebenarnya. Rainbow table adalah tabel pencarian yang sudah dihitung sebelumnya yang memetakan nilai hash kembali ke kata sandi asli. Jika sebuah situs menyimpan kata sandi tanpa "salting" pada hash-nya (menambahkan nilai acak sebelum hashing), serangan rainbow table dapat memulihkan jutaan kata sandi dalam hitungan detik. Inilah mengapa pelanggaran data begitu menghancurkan.

Wawasan utama: Pembobolan kata sandi telah menjadi komoditas. Ada layanan online tempat Anda dapat membayar untuk membobol hash. Perangkat keras yang berharga beberapa ratus dolar dapat menguji miliaran kata sandi per detik. Satu-satunya pertahanan nyata adalah kata sandi yang panjang sekaligus benar-benar acak.

Entropi Kata Sandi: Mengapa Panjang Selalu Menang

Entropi adalah ukuran ketidakterdugaan, dinyatakan dalam bit. Semakin tinggi entropi, semakin lama waktu yang dibutuhkan untuk membobol kata sandi dengan brute force. Berikut cara kerjanya dalam praktik:

Kata sandi yang hanya menggunakan huruf kecil (26 karakter) menambah sekitar 4,7 bit entropi per karakter.
Menambahkan huruf besar menggandakan set menjadi 52 karakter — 5,7 bit per karakter.
Menambahkan angka (62 karakter) — 5,95 bit per karakter.
Menambahkan simbol (95 karakter ASCII yang dapat dicetak) — 6,57 bit per karakter.

Tetapi efek pengganda dari panjang jauh lebih kuat daripada penambahan jenis karakter tunggal apa pun. Kata sandi 12 karakter yang sepenuhnya acak dari set ASCII yang dapat dicetak penuh memiliki sekitar 79 bit entropi. Pada 16 karakter, itu menjadi 105 bit — secara efektif tak bisa ditembus dengan teknologi mana pun yang dapat diperkirakan.

Tiga Jenis Kata Sandi yang Digunakan Orang

Sebagian besar strategi kata sandi orang termasuk dalam salah satu dari tiga kategori — masing-masing dengan kelebihan dan kekurangannya sendiri:

Jenis 1: Mudah Diingat, Mudah Dibobol

Ini adalah kategori fluffy2009! — nama hewan peliharaan, tahun, dan tanda baca. Anda dapat mengingatnya tanpa usaha. Penyerang dapat membobolnya dalam waktu kurang dari satu jam dengan daftar kata yang layak dan aturan mangling. Kata sandi ini hampir tidak menawarkan perlindungan nyata.

Jenis 2: Kompleks Tetapi Mustahil Diingat

Beberapa orang mencoba membuat kata sandi yang benar-benar kompleks dengan menekan keyboard secara acak — xK3#mQ9!pL — tetapi kemudian mereka tidak dapat mengingatnya. Ini mengarah pada menuliskannya di catatan tempel, menyimpannya dalam file teks yang tidak terenkripsi, atau hanya mereset-nya terus-menerus. Keuntungan keamanan hilang karena penyimpanan yang buruk.

Jenis 3: Kuat dan Disimpan dengan Benar

Ini adalah satu-satunya pendekatan yang benar-benar bekerja dalam skala besar. Buat kata sandi yang panjang dan sepenuhnya acak dan simpan dalam pengelola kata sandi. Anda hanya perlu mengingat satu kata sandi master yang kuat. Sisanya dibuat, disimpan, dan diisikan untuk Anda secara otomatis. Beginilah profesional keamanan mengelola ratusan akun.

Perbandingan Kekuatan Secara Visual

Berikut adalah tampilan berdampingan tentang betapa dramatisnya kekuatan kata sandi bervariasi:

Kata Sandi	Panjang	Set Karakter	Entropi	Waktu Pembobolan
`password123`	11	Huruf kecil + angka	~18 bit (kamus)	Seketika
`P@$$w0rd`	8	Campuran + simbol	~24 bit (pola)	Menit hingga jam
`v8K#mX2qLn&4jR7`	16	ASCII penuh acak	~105 bit	Miliaran tahun

Perbedaan antara kata sandi pertama dan ketiga bukan hanya bertahap — ini adalah perbedaan antara tidak ada perlindungan dan keamanan yang hampir tak bisa ditembus. Dan Anda tidak perlu mengingat v8K#mX2qLn&4jR7 — pengelola kata sandi Anda melakukannya untuk Anda.

Periksa Kekuatan Kata Sandi Anda Saat Ini Secara Instan

Sebelum Anda mengubah apa pun, ada baiknya memahami secara tepat seberapa kuat kata sandi Anda saat ini. BrowseryTools menawarkan pemeriksa kekuatan kata sandi gratis dan privat yang menganalisis kata sandi Anda secara lokal — karakter yang Anda ketik tidak pernah meninggalkan browser Anda.

Coba sekarang: Buka Pemeriksa Kekuatan Kata Sandi BrowseryTools untuk melihat secara tepat skor kata sandi Anda. Alat ini memeriksa panjang, keragaman karakter, pola umum, dan kecocokan kamus — dan memberi tahu Anda berapa lama realistisnya untuk membobolnya.

Pemeriksa ini memberi Anda skor yang jelas dengan penjelasan tentang apa yang lemah dan apa yang perlu diperbaiki. Ini adalah cara tercepat untuk mendapatkan audit jujur atas kata sandi yang sudah Anda gunakan.

Buat Kata Sandi Kuat dengan Satu Klik

Mengetahui seperti apa kata sandi yang kuat dan benar-benar membuatnya adalah dua masalah yang berbeda. Otak manusia terkenal buruk dalam menghasilkan keacakan — kita selalu kembali ke pola, kata-kata yang familier, dan struktur yang dapat diduga. Solusinya adalah membiarkan mesin menghasilkan keacakan untuk Anda.

Generator Kata Sandi BrowseryTools membuat kata sandi acak secara kriptografis menggunakan generator nomor acak aman bawaan browser Anda. Anda dapat menyesuaikan:

Panjang kata sandi (hingga 128 karakter)
Set karakter yang disertakan: huruf besar, huruf kecil, angka, simbol
Pengecualian karakter yang ambigu (seperti 0, O, l, 1) agar lebih mudah disalin secara manual
Jumlah kata sandi yang dibuat sekaligus

Jaminan privasi: Generator kata sandi BrowseryTools berjalan sepenuhnya di browser Anda menggunakan Web Crypto API. Tidak ada kata sandi yang pernah dikirim ke server mana pun. Pembuatan terjadi di perangkat Anda, hanya untuk mata Anda.

Mengapa Anda Membutuhkan Pengelola Kata Sandi

Keberatan nomor satu terhadap penggunaan kata sandi yang kuat adalah daya ingat. "Saya tidak bisa mengingat 30 string acak 20 karakter yang berbeda." Anda benar — dan Anda seharusnya tidak perlu. Itulah tepatnya untuk apa pengelola kata sandi ada.

Pengelola kata sandi adalah brankas terenkripsi yang menyimpan semua kata sandi Anda. Anda membukanya dengan satu kata sandi master yang kuat (satu-satunya yang perlu Anda hafal), dan ia menangani segalanya:

Menyimpan kata sandi tak terbatas secara aman dengan enkripsi end-to-end
Mengisi otomatis formulir login di browser Anda
Membuat kata sandi kuat baru saat Anda membuat akun
Memberi tahu Anda saat kata sandi telah terungkap dalam pelanggaran yang diketahui
Menyinkronkan di semua perangkat Anda secara aman

Opsi populer termasuk Bitwarden (sumber terbuka dan gratis), 1Password, dan KeePass (sepenuhnya lokal). Yang penting adalah menggunakan salah satunya — peningkatan keamanan dibandingkan tanpa pengelola sangat besar.

Wawasan utama: Dengan pengelola kata sandi, Anda dapat menggunakan kata sandi 20 karakter yang berbeda dan sepenuhnya acak di setiap situs. Jika satu situs dibobol, hanya satu akun itu yang terkompromikan — bukan setiap akun yang Anda miliki.

Autentikasi Dua Faktor: Mengapa Kata Sandi Saja Tidak Cukup

Bahkan kata sandi terkuat pun memiliki satu kerentanan mendasar: kata sandi itu dapat dicuri tanpa dibobol. Serangan phishing, keylogger, serangan man-in-the-middle, dan pelanggaran data dapat mengungkap kata sandi Anda tanpa brute force apa pun. Begitu penyerang memiliki kata sandi Anda, panjang dan kompleksitas menjadi tidak relevan.

Autentikasi dua faktor (2FA) menambahkan lapisan kedua yang melindungi Anda bahkan jika kata sandi Anda terkompromikan. Bentuk umum meliputi:

Aplikasi TOTP (Google Authenticator, Authy): Membuat kode 6 digit yang berubah setiap 30 detik. Bahkan dengan kata sandi Anda, penyerang tidak dapat masuk tanpa kode saat ini.
Kunci perangkat keras (YubiKey): Perangkat fisik yang Anda colokkan atau tempelkan. Tahan phishing karena kunci memverifikasi domain situs sebelum melakukan autentikasi.
Kode SMS: Lebih baik daripada tidak ada, tetapi rentan terhadap serangan SIM-swapping. Gunakan aplikasi autentikator sebagai gantinya bila memungkinkan.

Aktifkan 2FA di setiap akun yang mendukungnya — terutama email, perbankan, penyimpanan cloud, dan media sosial. Kata sandi yang kuat ditambah 2FA membuat akses tidak sah sangat sulit bahkan untuk penyerang dengan sumber daya besar.

Daftar Periksa Keamanan Kata Sandi yang Lengkap

Gunakan minimal 16 karakter untuk setiap kata sandi
Gunakan kata sandi yang berbeda di setiap situs dan layanan
Jangan pernah menggunakan kata kamus, nama, atau informasi pribadi
Gunakan pengelola kata sandi untuk membuat dan menyimpan semua kata sandi
Aktifkan autentikasi dua faktor di mana pun tersedia
Periksa kata sandi Anda yang ada dengan pemeriksa kekuatan hari ini
Periksa apakah email Anda telah muncul dalam pelanggaran yang diketahui (haveibeenpwned.com)
Jangan pernah membagikan kata sandi melalui email, teks, atau aplikasi pesan

Mulai Sekarang Juga — Hanya Butuh 2 Menit

Anda tidak perlu merombak semuanya sekaligus. Mulailah dengan akun paling penting Anda: email, perbankan, dan media sosial utama Anda. Ganti kata sandi tersebut terlebih dahulu menggunakan Generator Kata Sandi BrowseryTools, lalu periksa kekuatan apa yang sudah Anda miliki menggunakan Pemeriksa Kekuatan Kata Sandi.

Alat Kata Sandi Gratis — Tanpa Pendaftaran, Tanpa Berbagi Data

Periksa Kekuatan Kata Sandi →Buat Kata Sandi Kuat →

Kedua alat berjalan sepenuhnya di browser Anda. Kata sandi Anda tidak pernah dikirim, dicatat, atau disimpan di mana pun di luar perangkat Anda sendiri. Itulah janji BrowseryTools — alat canggih yang benar-benar menghormati privasi Anda.