Panduan keamanan

Cara Membuat Kata Sandi yang Kuat

Panduan praktis untuk membuat kata sandi yang kuat dan unik dengan pembuatan lokal, pengelola kata sandi, MFA, dan kebiasaan pemulihan yang aman.

Ringkasan

Kata sandi yang kuat bukan sekadar rangkaian karakter yang “terlihat rumit.” Kata sandi yang kuat cukup panjang untuk kasus penggunaannya, dibuat secara acak, unik untuk satu akun, dan disimpan dengan aman. Alur kerja sehari-hari yang paling andal sederhana: buat nilai acak unik, simpan di pengelola kata sandi, dan aktifkan MFA atau passkey jika layanan mendukungnya.

Gunakan pembuat kata sandi acak gratis atau pembuat kata sandi 16 karakter saat Anda membutuhkan kata sandi akun baru.

Apa yang membuat kata sandi kuat

Kata sandi praktis terkuat dipilih melalui proses acak, bukan diciptakan oleh manusia. Kata sandi buatan manusia sering berisi nama, tanggal, pola keyboard, merek, lirik, atau substitusi yang umum. Penyerang mengetahui pola-pola tersebut dan mencobanya lebih awal.

Pembuatan acak mengubah situasi. Kata sandi yang dibuat secara acak, misalnya nilai 16, 20, atau 32 karakter, tidak memiliki cerita pribadi, tidak ada tanggal kalender, dan tidak memiliki struktur kamus yang nyaman. Kata sandi tersebut hanya berguna jika tetap unik dan pribadi.

Rekomendasi praktis

1. Buat kata sandi baru untuk setiap akun.
2. Utamakan setidaknya 15–16 karakter acak untuk akun biasa.
3. Gunakan 20 karakter atau lebih untuk email, perbankan, pekerjaan, dan akses admin jika diterima.
4. Sertakan simbol jika tujuan menerimanya.
5. Simpan kata sandi di pengelola kata sandi tepercaya.
6. Aktifkan MFA atau passkey.
7. Tinjau pengaturan pemulihan akun, karena penyerang sering menargetkan jalur pemulihan.

Apa yang diselesaikan dan tidak diselesaikan oleh pembuatan lokal

PwdGen menghasilkan nilai secara lokal dengan Web Crypto dan tidak mengunggah kata sandi yang dibuat. Ini melindungi dari situs web yang sengaja mengumpulkan nilai yang dihasilkan. Ini tidak melindungi dari ekstensi peramban yang disusupi, pengelola clipboard yang tidak aman, malware, halaman phishing, atau layanan yang salah menangani penyimpanan kata sandi.

Panduan terperinci

Panduan ini berfokus pada pembuatan kata sandi yang kuat dari awal. Ditulis untuk orang yang mengganti kata sandi akun yang lemah atau digunakan ulang, sehingga tujuan praktisnya bukan untuk membuat klaim keamanan yang dramatis. Tujuannya adalah memilih kebiasaan kata sandi yang dapat bertahan dalam penggunaan sehari-hari: formulir masuk, pengelola kata sandi, keyboard ponsel, pemulihan akun, perangkat bersama, dan sesekali layanan dengan aturan validasi yang aneh. Rekomendasi yang aman hanya berguna jika orang sungguhan dapat mengikutinya secara konsisten.

Titik awal teraman adalah keacakan ditambah keunikan. Keacakan berarti nilai dipilih dari ruang yang luas oleh sumber acak yang layak secara kriptografis, bukan diciptakan dari ulang tahun, nama hewan peliharaan, pola keyboard, atau kutipan favorit. Keunikan berarti kata sandi yang sama tidak digunakan di tempat lain. Kata sandi yang panjang tetapi digunakan ulang dapat gagal dengan cepat setelah satu pelanggaran yang tidak terkait, sementara kata sandi acak unik membatasi kerusakan hanya pada satu akun tempat ia digunakan.

Untuk topik ini, preset praktis adalah 20 karakter, huruf besar, huruf kecil, angka, dan simbol jika diterima. Anda dapat menerapkan preset itu dengan pembuat kata sandi 20 karakter dan kemudian menyimpan nilai akhir di pengelola kata sandi tepercaya. PwdGen menghasilkan nilai secara lokal di peramban dengan Web Crypto; kata sandi yang dihasilkan tidak dikirim ke server PwdGen. Desain lokal ini mengurangi paparan sisi server, tetapi tidak melindungi dari setiap ancaman. Ekstensi peramban berbahaya, perangkat yang disusupi, halaman phishing, atau penanganan clipboard yang tidak aman masih dapat mengekspos rahasia setelah dihasilkan.

Masalah paling umum yang harus dihindari adalah nama pribadi, ulang tahun, pola keyboard, akhiran yang digunakan ulang, dan substitusi yang dapat diprediksi seperti mengganti a dengan @. Masalah-masalah ini penting karena penyerang jarang perlu melakukan brute-force setiap kemungkinan kata sandi ketika kebiasaan manusia memberi mereka jalan pintas. Credential stuffing, phishing, daftar kata sandi yang bocor, dan penyalahgunaan pemulihan akun seringkali lebih realistis daripada pencarian matematis murni. Itulah mengapa saran terbaik menggabungkan kualitas kata sandi dengan kontrol tingkat akun seperti MFA, passkey, penyimpanan kode pemulihan, dan peninjauan rutin pengaturan email atau telepon pemulihan.

Gunakan daftar periksa ini saat menerapkan rekomendasi:

• Gunakan nilai yang berbeda untuk setiap akun.
• Utamakan pembuatan acak daripada pola pribadi.
• Simpan hasilnya di pengelola kata sandi.
• Aktifkan MFA atau passkey jika tersedia.

Jika situs web menolak pengaturan ideal, jangan memaksakan kata sandi ke pola yang lebih lemah secara manual. Sesuaikan satu variabel pada satu waktu. Jika simbol ditolak, pertahankan huruf besar, huruf kecil, dan angka aktif serta tambah panjangnya. Jika panjang maksimum rendah, gunakan panjang terbesar yang diterima dan pastikan nilainya unik. Jika kata sandi harus dibacakan, dicetak, atau diketik di layar televisi atau router, pertimbangkan untuk mengecualikan karakter yang membingungkan dan menambah panjang untuk mengimbangi alfabet yang lebih kecil.

Terakhir, ingat batasan saran kata sandi. Kata sandi yang kuat adalah satu lapisan pertahanan, bukan jaminan. Ia tidak dapat membuat halaman phishing aman, memperbaiki malware, atau mengimbangi layanan yang menyimpan kredensial dengan buruk. Kebiasaan yang berguna membosankan tetapi tahan lama: buat nilai unik, simpan dengan aman, lindungi jalur pemulihan, dan ganti dengan cepat jika Anda mencurigai paparan.

Pertanyaan yang sering diajukan

Apa aturan kata sandi kuat yang paling sederhana?

Gunakan kata sandi yang panjang, acak, dan unik untuk setiap akun dan simpan di pengelola kata sandi tepercaya.

Apakah kata sandi pendek yang kompleks lebih baik daripada kata sandi acak yang lebih panjang?

Biasanya tidak. Panjang dan ketidakpastian lebih penting daripada substitusi yang umum seperti mengganti huruf dengan simbol.

Haruskah saya menggunakan MFA dengan kata sandi yang kuat?

Ya. MFA atau passkey menambah perlindungan ketika kata sandi di-phishing, digunakan ulang di tempat lain, atau terekspos oleh pelanggaran layanan.