Panduan keamanan

Panjang Kata Sandi Terbaik untuk Email

Pelajari mengapa akun email memerlukan kata sandi panjang yang unik, MFA, pemulihan yang aman, serta peninjauan penerusan dan akses aplikasi yang hati-hati.

Ringkasan

Akun email Anda sering kali menjadi kunci pemulihan untuk seluruh kehidupan digital Anda. Gunakan kata sandi acak yang unik, sebaiknya 20 karakter atau lebih, dan aktifkan MFA atau passkey jika tersedia.

Gunakan pembuat kata sandi email.

Mengapa email bernilai tinggi

Email menerima tautan reset kata sandi, peringatan login, faktur, dokumen, dan pesan pemulihan akun. Jika penyerang menguasai email, mereka dapat mereset akun lain meskipun akun tersebut menggunakan kata sandi yang kuat.

Rekomendasi praktis

• Gunakan kata sandi unik yang panjang.
• Aktifkan MFA atau passkey.
• Tinjau pengaturan email dan nomor telepon pemulihan.
• Periksa aturan penerusan dan akses yang didelegasikan.
• Cabut kata sandi aplikasi atau izin OAuth yang mencurigakan.

Panduan terperinci

Panduan ini berfokus pada pemilihan panjang kata sandi untuk akun email. Ditulis untuk pengguna yang memahami bahwa email sering menjadi pusat pemulihan untuk layanan lain, sehingga tujuan praktisnya bukan untuk membuat klaim keamanan yang dramatis. Tujuannya adalah memilih kebiasaan kata sandi yang dapat bertahan dalam penggunaan sehari-hari: formulir masuk, pengelola kata sandi, keyboard ponsel, pemulihan akun, perangkat bersama, dan sesekali layanan dengan aturan validasi yang aneh. Rekomendasi yang aman hanya berguna jika orang sungguhan dapat mengikutinya secara konsisten.

Titik awal teraman adalah keacakan ditambah keunikan. Keacakan berarti nilainya dipilih dari ruang yang besar oleh sumber acak yang sesuai secara kriptografis, bukan diciptakan dari ulang tahun, nama hewan peliharaan, pola keyboard, atau kutipan favorit. Keunikan berarti kata sandi yang sama tidak digunakan di tempat lain. Kata sandi yang panjang tetapi digunakan kembali dapat gagal dengan cepat setelah satu pelanggaran yang tidak terkait, sementara kata sandi acak yang unik membatasi kerusakan hanya pada satu akun tempat ia digunakan.

Untuk topik ini, preset praktis adalah 20 hingga 32 karakter acak, disimpan di pengelola, dengan MFA diaktifkan. Anda dapat menerapkan preset itu dengan pembuat kata sandi email dan kemudian menyimpan nilai akhir di pengelola kata sandi tepercaya. PwdGen menghasilkan nilai secara lokal di browser dengan Web Crypto; kata sandi yang dihasilkan tidak dikirim ke server PwdGen. Desain lokal itu mengurangi paparan sisi server, tetapi tidak melindungi dari setiap ancaman. Ekstensi browser berbahaya, perangkat yang dikompromikan, halaman phishing, atau penanganan clipboard yang tidak aman masih dapat mengekspos rahasia setelah dihasilkan.

Masalah paling umum yang harus dihindari adalah penyalahgunaan pemulihan akun, credential stuffing, aturan kotak masuk yang ditambahkan oleh penyerang, dan kata sandi yang digunakan kembali dari pelanggaran lama. Masalah-masalah ini penting karena penyerang jarang perlu melakukan brute-force setiap kemungkinan kata sandi ketika kebiasaan manusia memberi mereka jalan pintas. Credential stuffing, phishing, daftar kata sandi yang bocor, dan penyalahgunaan pemulihan akun seringkali lebih realistis daripada pencarian matematis murni. Itulah sebabnya saran terbaik menggabungkan kualitas kata sandi dengan kontrol tingkat akun seperti MFA, passkey, penyimpanan kode pemulihan, dan peninjauan rutin pengaturan email atau nomor telepon pemulihan.

Gunakan daftar periksa ini saat menerapkan rekomendasi:

• Perlakukan email sebagai akun prioritas tertinggi.
• Gunakan kata sandi unik yang panjang.
• Tinjau nomor telepon pemulihan dan email cadangan.
• Periksa penerusan dan aktivitas login setelah dugaan pelanggaran.

Jika sebuah situs web menolak pengaturan ideal, jangan paksa kata sandi ke pola yang lebih lemah secara manual. Sesuaikan satu variabel pada satu waktu. Jika simbol ditolak, pertahankan huruf besar, huruf kecil, dan angka aktif serta tambah panjangnya. Jika panjang maksimum rendah, gunakan panjang terbesar yang diterima dan pastikan nilainya unik. Jika kata sandi harus dibacakan dengan lantang, dicetak, atau diketik di layar televisi atau router, pertimbangkan untuk mengecualikan karakter yang membingungkan dan menambah panjang untuk mengkompensasi alfabet yang lebih kecil.

Terakhir, ingat batasan saran kata sandi. Kata sandi yang kuat adalah satu lapis pertahanan, bukan jaminan. Ia tidak dapat membuat halaman phishing aman, memperbaiki malware, atau mengkompensasi layanan yang menyimpan kredensial dengan buruk. Kebiasaan yang berguna itu membosankan tetapi tahan lama: hasilkan nilai unik, simpan dengan aman, lindungi jalur pemulihan, dan ganti dengan cepat jika Anda curiga ada paparan.

Langkah aman selanjutnya

Setelah membaca panduan ini, lakukan satu audit akun kecil alih-alih mencoba memperbaiki semuanya sekaligus. Pilih akun yang akan menyebabkan masalah paling besar jika diambil alih, pastikan kata sandinya unik, dan periksa email pemulihan, nomor telepon pemulihan, metode MFA, dan penyimpanan kode cadangan. Jika ada bagian dari rantai itu yang lemah, perbaiki bagian itu sebelum beralih ke akun berisiko lebih rendah. Urutan ini membuat pekerjaan tetap terkelola dan melindungi akun yang paling mungkin digunakan penyerang sebagai batu loncatan. Untuk panjang kata sandi terbaik untuk email, hasil terbaik adalah kebiasaan yang dapat diulang: hasilkan secara lokal, simpan dengan hati-hati, dan hindari penggunaan kembali.

Pertanyaan yang sering diajukan

Berapa panjang kata sandi email yang sebaiknya?

Gunakan setidaknya 20 karakter acak jika diterima, karena email sering mengontrol reset kata sandi untuk akun lain.

Mengapa email sangat penting?

Email dapat menerima tautan reset, peringatan keamanan, faktur, dokumen identitas, dan pesan pemulihan akun.

Haruskah saya meninjau aturan penerusan?

Ya. Penerusan berbahaya, filter, atau akses yang didelegasikan dapat bertahan setelah perubahan kata sandi.