Panduan keamanan

Berapa Panjang Seharusnya Kata Sandi?

Pelajari kapan harus memilih 12, 16, 20, atau 32 karakter dan mengapa panjang, keunikan, serta penyimpanan kata sandi lebih penting daripada kerumitan visual.

Ringkasan

Untuk sebagian besar akun modern, 16 karakter acak adalah dasar praktis yang kuat. Gunakan 20 karakter atau lebih untuk akun pribadi penting, email, perbankan, pekerjaan, atau admin. Gunakan 32 karakter saat kata sandi akan disimpan di pengelola dan melindungi akses bernilai tinggi.

Coba generator 16 karakter, 20 karakter, atau 32 karakter.

Kelompok panjang

Kata sandi pendek lebih mudah ditebak karena lebih sedikit kemungkinan kombinasi. Enam hingga sembilan karakter biasanya terlalu pendek untuk keamanan akun. Sepuluh hingga empat belas karakter mungkin diterima oleh banyak layanan, tetapi tidak boleh dianggap sebagai tujuan utama untuk akun penting.

Enam belas karakter acak adalah default yang baik saat pengelola kata sandi menyimpan nilainya. Dua puluh karakter menambah margin sementara tetap kompatibel dengan banyak situs. Tiga puluh dua karakter berguna untuk panel admin, file terenkripsi, kredensial database, dan rahasia lokal.

Panjang acak versus panjang buatan manusia

Kata sandi acak 16 karakter sangat berbeda dari frasa buatan manusia sepanjang 16 karakter. Pilihan manusia sering kali mencakup kata-kata, tanggal, nama, dan akhiran yang dapat diprediksi. Penyerang menguji pola-pola itu sebelum mencoba brute force buta.

Rekomendasi praktis

• Gunakan 16 karakter sebagai dasar normal.
• Gunakan 20–32 karakter untuk akun bernilai tinggi.
• Gunakan frasa sandi jika daya ingat penting.
• Gunakan preset tanpa simbol atau tanpa ambigu hanya jika kompatibilitas membutuhkannya.
• Jangan pernah menggunakan ulang kata sandi hanya karena panjang.

Panduan terperinci

Panduan ini berfokus pada pemilihan panjang kata sandi untuk berbagai risiko akun. Ditulis untuk pembaca yang membandingkan pilihan 12, 16, 20, 24, dan 32 karakter, sehingga tujuan praktisnya bukan untuk membuat klaim keamanan yang dramatis. Tujuannya adalah memilih kebiasaan kata sandi yang dapat bertahan dalam penggunaan sehari-hari: formulir masuk, pengelola kata sandi, keyboard ponsel, pemulihan akun, perangkat bersama, dan sesekali layanan dengan aturan validasi aneh. Rekomendasi yang aman hanya berguna jika orang sungguhan dapat mengikutinya secara konsisten.

Titik awal teraman adalah keacakan ditambah keunikan. Keacakan berarti nilai dipilih dari ruang besar oleh sumber acak yang sesuai secara kriptografis, bukan diciptakan dari ulang tahun, nama hewan peliharaan, pola keyboard, atau kutipan favorit. Keunikan berarti kata sandi yang sama tidak digunakan di tempat lain. Kata sandi yang panjang tetapi digunakan ulang dapat gagal dengan cepat setelah satu pelanggaran yang tidak terkait, sementara kata sandi acak unik membatasi kerusakan hanya pada satu akun tempat ia digunakan.

Untuk topik ini, preset praktis adalah 16 karakter untuk akun biasa, 20 atau lebih untuk akun penting, dan 32 untuk rahasia yang disimpan daripada diketik. Anda dapat menerapkan preset itu dengan generator kata sandi 32 karakter dan kemudian menyimpan nilai akhir di pengelola kata sandi tepercaya. PwdGen menghasilkan nilai secara lokal di browser dengan Web Crypto; kata sandi yang dihasilkan tidak dikirim ke server PwdGen. Desain lokal itu mengurangi paparan sisi server, tetapi tidak melindungi dari setiap ancaman. Ekstensi browser berbahaya, perangkat yang dikompromikan, halaman phishing, atau penanganan clipboard yang tidak aman masih dapat mengekspos rahasia setelah dihasilkan.

Masalah paling umum yang harus dihindari adalah nilai acak pendek, batas panjang maksimum, formulir lama, dan asumsi bahwa angka tetap aman untuk setiap sistem. Masalah-masalah ini penting karena penyerang jarang perlu melakukan brute force setiap kemungkinan kata sandi ketika kebiasaan manusia memberi mereka jalan pintas. Credential stuffing, phishing, daftar kata sandi bocor, dan penyalahgunaan pemulihan akun seringkali lebih realistis daripada pencarian matematis murni. Itulah mengapa saran terbaik menggabungkan kualitas kata sandi dengan kontrol tingkat akun seperti MFA, passkey, penyimpanan kode pemulihan, dan peninjauan rutin pengaturan email atau telepon pemulihan.

Gunakan daftar periksa ini saat menerapkan rekomendasi:

• Gunakan lebih banyak panjang saat simbol tidak diizinkan.
• Periksa panjang maksimum tujuan sebelum menyimpan.
• Hindari memperpendek kata sandi demi kenyamanan.
• Gunakan frasa sandi saat penghafalan penting.

Jika sebuah situs web menolak pengaturan ideal, jangan paksakan kata sandi ke pola yang lebih lemah secara manual. Sesuaikan satu variabel pada satu waktu. Jika simbol ditolak, pertahankan huruf besar, huruf kecil, dan angka aktif serta tingkatkan panjang. Jika panjang maksimum rendah, gunakan panjang terbesar yang diterima dan pastikan nilainya unik. Jika kata sandi harus dibacakan, dicetak, atau diketik di layar televisi atau router, pertimbangkan untuk mengecualikan karakter yang membingungkan dan menambah panjang untuk mengkompensasi alfabet yang lebih kecil.

Terakhir, ingat batasan saran kata sandi. Kata sandi yang kuat adalah satu lapisan pertahanan, bukan jaminan. Ia tidak dapat membuat halaman phishing aman, memperbaiki malware, atau mengkompensasi layanan yang menyimpan kredensial dengan buruk. Kebiasaan yang berguna membosankan tetapi tahan lama: hasilkan nilai unik, simpan dengan aman, lindungi jalur pemulihan, dan ganti dengan cepat jika Anda curiga terpapar.

Pertanyaan yang sering diajukan

Apakah 12 karakter cukup?

Kata sandi acak 12 karakter dapat berguna untuk kompatibilitas, tetapi 16 atau lebih adalah default yang lebih baik saat layanan menerimanya.

Kapan saya harus menggunakan 20 atau 32 karakter?

Gunakan 20 atau lebih untuk akun penting dan 32 untuk alur kerja admin, file terenkripsi, atau rahasia pengembang yang disimpan di pengelola kata sandi.

Bisakah kata sandi terlalu panjang?

Beberapa layanan memberlakukan panjang maksimum atau menolak simbol. Gunakan nilai acak unik terpanjang yang diterima tujuan.