Panduan keamanan

Password vs Passphrase

Bandingkan password karakter acak dan passphrase kata acak, termasuk kemudahan diingat, entropi, penyimpanan, dan kasus penggunaan yang aman.

Ringkasan

Password biasanya berupa string karakter acak. Passphrase biasanya berupa urutan kata. Keduanya bisa kuat jika dihasilkan secara acak, unik, dan disimpan atau diingat dengan aman. Pilihan yang tepat tergantung pada apakah Anda membutuhkan kekompakan maksimal, kemudahan mengetik, atau kemudahan diingat.

Gunakan pembuat passphrase jika Anda menginginkan kata-kata acak, atau pembuat password jika sebuah situs mengharapkan password karakter yang ringkas.

Password karakter acak

Password karakter acak efisien: setiap karakter dapat menambah ruang pencarian. Ini ideal untuk pengelola kata sandi, panel admin, WiFi, perbankan, email, dan rahasia pengembang. Kekurangannya adalah sulit diingat dan tidak nyaman diketik di keyboard kecil.

Passphrase kata acak

Passphrase lebih mudah dibaca dan diketik. Kata pentingnya adalah “acak.” Kalimat yang Anda buat sendiri, kutipan, lirik lagu, atau frasa yang familiar dapat ditebak oleh alat berbasis pola. Passphrase harus terdiri dari kata-kata yang dipilih secara independen dari daftar yang cukup besar.

Rekomendasi praktis

• Gunakan password karakter acak untuk sebagian besar akun yang disimpan di pengelola.
• Gunakan passphrase untuk kredensial yang mungkin perlu Anda ingat.
• Jangan gunakan ulang kedua format.
• Hindari frasa pribadi, kutipan, nama, dan tanggal.
• Periksa apakah spasi atau pemisah diterima oleh tujuan.

Panduan terperinci

Panduan ini berfokus pada keputusan antara password karakter acak dan passphrase acak. Ditulis untuk orang yang membutuhkan password tersimpan yang aman dan rahasia login yang mudah diingat, sehingga tujuan praktisnya bukan untuk membuat klaim keamanan yang dramatis. Tujuannya adalah memilih kebiasaan password yang dapat bertahan dalam penggunaan sehari-hari: formulir masuk, pengelola kata sandi, keyboard ponsel, pemulihan akun, perangkat bersama, dan layanan sesekali dengan aturan validasi yang aneh. Rekomendasi yang aman hanya berguna jika orang sungguhan dapat mengikutinya secara konsisten.

Titik awal teraman adalah keacakan ditambah keunikan. Keacakan berarti nilai dipilih dari ruang besar oleh sumber acak yang sesuai secara kriptografis, bukan dibuat dari ulang tahun, nama hewan peliharaan, pola keyboard, atau kutipan favorit. Keunikan berarti password yang sama tidak digunakan di tempat lain. Password yang panjang tetapi digunakan ulang dapat gagal dengan cepat setelah satu pelanggaran yang tidak terkait, sementara password acak yang unik membatasi kerusakan hanya pada satu akun tempat ia digunakan.

Untuk topik ini, preset praktis adalah empat hingga enam kata acak untuk kemudahan diingat, atau karakter acak untuk penyimpanan pengelola kata sandi. Anda dapat menerapkan preset itu dengan pembuat passphrase dan kemudian menyimpan nilai akhir di pengelola kata sandi tepercaya. PwdGen menghasilkan nilai secara lokal di browser dengan Web Crypto; password yang dihasilkan tidak dikirim ke server PwdGen. Desain lokal itu mengurangi paparan sisi server, tetapi tidak melindungi dari setiap ancaman. Ekstensi browser berbahaya, perangkat yang dikompromikan, halaman phishing, atau penanganan clipboard yang tidak aman masih dapat mengekspos rahasia setelah dihasilkan.

Masalah paling umum yang harus dihindari adalah frasa tulisan tangan, kutipan terkenal, lirik lagu, slogan pribadi, dan frasa kamus yang dipilih oleh manusia. Masalah-masalah ini penting karena penyerang jarang perlu brute-force setiap kemungkinan password ketika kebiasaan manusia memberi mereka jalan pintas. Credential stuffing, phishing, daftar password bocor, dan penyalahgunaan pemulihan akun seringkali lebih realistis daripada pencarian matematis murni. Itulah mengapa saran terbaik menggabungkan kualitas password dengan kontrol tingkat akun seperti MFA, passkey, penyimpanan kode pemulihan, dan peninjauan rutin pengaturan email atau telepon pemulihan.

Gunakan daftar periksa ini saat menerapkan rekomendasi:

• Gunakan kata-kata yang dipilih secara acak, bukan kalimat yang Anda buat sendiri.
• Jaga konsistensi pemisah dengan formulir tujuan.
• Jangan gunakan ulang passphrase di berbagai akun.
• Gunakan pengelola untuk password acak yang panjang.

Jika sebuah situs web menolak pengaturan ideal, jangan paksa password ke pola yang lebih lemah secara manual. Sesuaikan satu variabel pada satu waktu. Jika simbol ditolak, aktifkan huruf besar, huruf kecil, dan angka serta tingkatkan panjang. Jika panjang maksimum rendah, gunakan panjang terbesar yang diterima dan pastikan nilainya unik. Jika password harus dibacakan, dicetak, atau diketik di layar televisi atau router, pertimbangkan untuk mengecualikan karakter yang membingungkan dan menambah panjang untuk mengkompensasi alfabet yang lebih kecil.

Terakhir, ingat batasan saran password. Password yang kuat adalah satu lapis pertahanan, bukan jaminan. Ia tidak dapat membuat halaman phishing aman, memperbaiki malware, atau mengkompensasi layanan yang menyimpan kredensial dengan buruk. Kebiasaan yang berguna adalah membosankan tetapi tahan lama: hasilkan nilai unik, simpan dengan aman, lindungi jalur pemulihan, dan ganti dengan cepat jika Anda mencurigai paparan.

Pertanyaan yang sering diajukan

Apakah passphrase selalu lebih kuat dari password?

Tidak. Passphrase acak bisa kuat, tetapi kutipan atau kalimat yang familiar tidak setara dengan kata-kata yang dipilih secara acak.

Kapan saya harus memilih passphrase?

Pilih passphrase ketika Anda mungkin perlu mengingat atau mengetiknya secara manual, terutama untuk kredensial master pengelola kata sandi.

Berapa banyak kata yang harus digunakan dalam passphrase?

Empat kata acak adalah titik awal yang praktis; tambahkan lebih banyak kata untuk penggunaan bernilai lebih tinggi atau daftar kata yang lebih kecil.