Panduan keamanan

Entropi Kata Sandi Dijelaskan

Pahami entropi kata sandi, ruang pencarian, ukuran alfabet, panjang, dan mengapa bit teoretis hanyalah perkiraan batas atas.

Ringkasan

Entropi kata sandi adalah cara untuk menggambarkan ukuran ruang pencarian yang perlu dijelajahi oleh penyerang. Untuk kata sandi acak seragam, rumus batas atas yang berguna adalah:

bits = length × log2(alphabet size)

Gunakan kalkulator waktu crack kata sandi untuk membandingkan asumsi.

Ukuran alfabet

Ukuran alfabet adalah jumlah karakter yang mungkin. Huruf kecil memberikan 26 pilihan. Huruf besar ditambah huruf kecil memberikan 52. Menambahkan angka memberikan 62. Simbol dapat menambah kumpulan lebih lanjut, tetapi hanya jika layanan menerimanya dan generator memilihnya secara acak.

Panjang

Panjang melipatgandakan ruang pencarian. Kata sandi acak yang lebih panjang biasanya memberikan peningkatan praktis yang lebih besar daripada kata sandi pendek yang dihiasi dengan simbol yang dapat diprediksi.

Peringatan batas atas

Rumus tersebut mengasumsikan setiap posisi dipilih secara seragam dari alfabet. Ini tidak berlaku untuk frasa manusia, kata sandi yang digunakan kembali, kata kamus, tanggal, jalur keyboard, kredensial yang bocor, atau hasil edit. Ini juga tidak memodelkan hashing sisi layanan atau batas kecepatan online.

Rekomendasi praktis

• Perlakukan entropi sebagai alat perbandingan, bukan jaminan.
• Utamakan nilai yang dihasilkan secara acak.
• Gunakan lebih banyak panjang untuk alfabet terbatas.
• Jaga setiap kata sandi tetap unik.
• Simpan hasil dengan aman.

Panduan terperinci

Panduan ini berfokus pada interpretasi entropi kata sandi tanpa berlebihan. Ditulis untuk pembaca yang membandingkan panjang, ukuran alfabet, dan daftar kata frasa sandi, sehingga tujuan praktisnya bukan untuk membuat klaim keamanan yang dramatis. Tujuannya adalah untuk memilih kebiasaan kata sandi yang dapat bertahan dalam penggunaan sehari-hari: formulir masuk, pengelola kata sandi, keyboard ponsel, pemulihan akun, perangkat bersama, dan sesekali layanan dengan aturan validasi yang aneh. Rekomendasi yang aman hanya berguna jika orang sungguhan dapat mengikutinya secara konsisten.

Titik awal teraman adalah keacakan ditambah keunikan. Keacakan berarti nilai dipilih dari ruang besar oleh sumber acak yang sesuai secara kriptografis, bukan diciptakan dari ulang tahun, nama hewan peliharaan, pola keyboard, atau kutipan favorit. Keunikan berarti kata sandi yang sama tidak digunakan di tempat lain. Kata sandi yang panjang tetapi digunakan kembali dapat gagal dengan cepat setelah satu pelanggaran yang tidak terkait, sementara kata sandi acak yang unik membatasi kerusakan pada satu akun tempat ia digunakan.

Untuk topik ini, preset praktis adalah panjang dikalikan log2 dari ukuran alfabet acak untuk kata sandi acak seragam. Anda dapat menerapkan preset itu dengan pemeriksa kekuatan kata sandi dan kemudian menyimpan nilai akhir di pengelola kata sandi tepercaya. PwdGen menghasilkan nilai secara lokal di browser dengan Web Crypto; kata sandi yang dihasilkan tidak dikirim ke server PwdGen. Desain lokal itu mengurangi paparan sisi server, tetapi tidak melindungi terhadap setiap ancaman. Ekstensi browser berbahaya, perangkat yang disusupi, halaman phishing, atau penanganan clipboard yang tidak aman masih dapat mengekspos rahasia setelah dihasilkan.

Masalah paling umum yang harus dihindari adalah menerapkan rumus sederhana pada kata sandi pilihan manusia, mengabaikan penggunaan kembali, dan memperlakukan perkiraan sebagai jaminan. Masalah-masalah ini penting karena penyerang jarang perlu brute-force setiap kemungkinan kata sandi ketika kebiasaan manusia memberi mereka jalan pintas. Credential stuffing, phishing, daftar kata sandi yang bocor, dan penyalahgunaan pemulihan akun seringkali lebih realistis daripada pencarian matematis murni. Itulah mengapa saran terbaik menggabungkan kualitas kata sandi dengan kontrol tingkat akun seperti MFA, kunci sandi, penyimpanan kode pemulihan, dan peninjauan rutin pengaturan email atau telepon pemulihan.

Gunakan daftar periksa ini saat menerapkan rekomendasi:

• Gunakan entropi hanya untuk pembuatan acak.
• Gunakan pemeriksaan gaya zxcvbn untuk input manusia.
• Tingkatkan panjang saat batasan alfabet berlaku.
• Ingat bahwa hash penyimpanan memengaruhi kecepatan serangan.

Jika situs web menolak pengaturan ideal, jangan paksa kata sandi ke pola yang lebih lemah secara manual. Sesuaikan satu variabel pada satu waktu. Jika simbol ditolak, aktifkan huruf besar, huruf kecil, dan angka serta tingkatkan panjang. Jika panjang maksimum rendah, gunakan panjang terbesar yang diterima dan pastikan nilainya unik. Jika kata sandi harus dibacakan, dicetak, atau diketik di layar televisi atau router, pertimbangkan untuk mengecualikan karakter yang membingungkan dan menambah panjang untuk mengimbangi alfabet yang lebih kecil.

Terakhir, ingat batas saran kata sandi. Kata sandi yang kuat adalah satu lapisan pertahanan, bukan jaminan. Itu tidak dapat membuat halaman phishing aman, memperbaiki malware, atau mengimbangi layanan yang menyimpan kredensial dengan buruk. Kebiasaan yang berguna itu membosankan tetapi tahan lama: hasilkan nilai unik, simpan dengan aman, lindungi jalur pemulihan, dan ganti dengan cepat jika Anda mencurigai paparan.

Langkah aman selanjutnya

Setelah membaca panduan ini, lakukan satu audit akun kecil alih-alih mencoba memperbaiki semuanya sekaligus. Pilih akun yang akan menyebabkan masalah paling besar jika diambil alih, konfirmasi bahwa kata sandinya unik, dan periksa email pemulihan, telepon pemulihan, metode MFA, dan penyimpanan kode cadangan. Jika ada bagian dari rantai itu yang lemah, perbaiki bagian itu sebelum beralih ke akun berisiko lebih rendah. Urutan ini membuat pekerjaan tetap terkelola dan melindungi akun yang paling mungkin digunakan penyerang sebagai batu loncatan. Untuk entropi kata sandi yang dijelaskan, hasil terbaik adalah kebiasaan yang dapat diulang: hasilkan secara lokal, simpan dengan hati-hati, dan hindari penggunaan kembali.

Pertanyaan yang sering diajukan

Apa rumus entropi sederhana?

Untuk karakter acak seragam, rumus batas atas yang umum adalah panjang dikalikan log2 dari ukuran alfabet.

Mengapa entropi hanya perkiraan?

Ini mengasumsikan pemilihan acak seragam dan tidak memperhitungkan penggunaan kembali, kebocoran, suntingan manusia, perangkat yang disusupi, atau penyimpanan tujuan.

Apakah simbol selalu menambah lebih banyak entropi?

Simbol meningkatkan ukuran alfabet ketika dipilih secara acak, tetapi menambah panjang sering memberikan manfaat yang lebih besar dan lebih mudah digunakan.