Panduan keamanan
Apa Itu Waktu Peretasan Kata Sandi?
Pelajari apa arti perkiraan waktu peretasan kata sandi, mengapa asumsi tingkat serangan penting, dan mengapa perkiraan bukanlah jaminan.
Ringkasan
Waktu peretasan kata sandi adalah perkiraan berapa lama serangan tebakan mungkin berlangsung dalam model tertentu. Modelnya penting. Menebak secara online terhadap layanan langsung berbeda dengan peretasan offline terhadap hash kata sandi yang bocor. Angka “waktu retak” universal menyesatkan tanpa asumsi.
Gunakan kalkulator waktu retak kata sandi dan pemeriksa kekuatan untuk membandingkan skenario secara lokal.
Tebakan online
Tebakan online dibatasi oleh layanan. Batas kecepatan, penguncian, pemantauan, MFA, dan deteksi anomali dapat memperlambat atau menghentikan serangan. PIN pendek mungkin dapat diterima hanya karena sistem membatasi percobaan.
Peretasan offline
Peretasan offline terjadi ketika penyerang memiliki hash kata sandi atau materi terenkripsi. Kecepatan tergantung pada algoritma hash, faktor biaya, salt, perangkat keras, dan strategi serangan. Hash kata sandi lambat seperti Argon2id, bcrypt, atau PBKDF2 dimaksudkan untuk mengurangi tebakan per detik.
Keacakan dan pola
Matematika waktu retak hanya bermakna ketika kata sandi benar-benar acak. Password123! mungkin terlihat rumit, tetapi muncul lebih awal dalam tebakan berbasis pola. Kata sandi acak 20 karakter berbeda karena tidak memiliki struktur manusia.
Panduan terperinci
Panduan ini berfokus pada membaca perkiraan waktu peretasan kata sandi secara bertanggung jawab. Ditulis untuk pengguna yang melihat perkiraan berbasis tahun dan ingin tahu apa artinya sebenarnya, sehingga tujuan praktisnya bukan untuk membuat klaim keamanan yang dramatis. Tujuannya adalah memilih kebiasaan kata sandi yang dapat bertahan dalam penggunaan sehari-hari: formulir masuk, pengelola kata sandi, keyboard ponsel, pemulihan akun, perangkat bersama, dan sesekali layanan dengan aturan validasi yang aneh. Rekomendasi yang aman hanya berguna jika orang sungguhan dapat mengikutinya secara konsisten.
Titik awal teraman adalah keacakan ditambah keunikan. Keacakan berarti nilai dipilih dari ruang besar oleh sumber acak yang sesuai secara kriptografis, bukan ditemukan dari ulang tahun, nama hewan peliharaan, pola keyboard, atau kutipan favorit. Keunikan berarti kata sandi yang sama tidak digunakan di tempat lain. Kata sandi yang panjang tetapi digunakan ulang dapat gagal dengan cepat setelah satu pelanggaran yang tidak terkait, sementara kata sandi acak yang unik membatasi kerusakan hanya pada satu akun tempat ia digunakan.
Untuk topik ini, preset praktis adalah perkiraan berbasis skenario untuk batas online, hash lambat, dan tebakan offline cepat. Anda dapat menerapkan preset itu dengan kalkulator waktu retak kata sandi dan kemudian menyimpan nilai akhir di pengelola kata sandi tepercaya. PwdGen menghasilkan nilai secara lokal di browser dengan Web Crypto; kata sandi yang dihasilkan tidak dikirim ke server PwdGen. Desain lokal itu mengurangi paparan sisi server, tetapi tidak melindungi dari setiap ancaman. Ekstensi browser berbahaya, perangkat yang disusupi, halaman phishing, atau penanganan clipboard yang tidak aman masih dapat mengekspos rahasia setelah dihasilkan.
Masalah paling umum yang harus dihindari adalah klaim waktu retak universal, asumsi hanya perangkat keras, hash bocor, penyimpanan lemah, dan pola pengguna yang dapat diprediksi. Masalah-masalah ini penting karena penyerang jarang perlu brute-force setiap kemungkinan kata sandi ketika kebiasaan manusia memberi mereka jalan pintas. Credential stuffing, phishing, daftar kata sandi bocor, dan penyalahgunaan pemulihan akun seringkali lebih realistis daripada pencarian matematis murni. Itulah mengapa saran terbaik menggabungkan kualitas kata sandi dengan kontrol tingkat akun seperti MFA, passkey, penyimpanan kode pemulihan, dan peninjauan rutin pengaturan email atau telepon pemulihan.
Gunakan daftar periksa ini saat menerapkan rekomendasi:
- Bandingkan lebih dari satu skenario serangan.
- Jangan perlakukan angka besar sebagai jaminan.
- Hindari kata sandi yang digunakan ulang terlepas dari perkiraan.
- Gunakan MFA untuk akun yang mendukungnya.
Jika situs web menolak pengaturan ideal, jangan paksa kata sandi ke pola yang lebih lemah secara manual. Sesuaikan satu variabel pada satu waktu. Jika simbol ditolak, pertahankan huruf besar, huruf kecil, dan angka aktif serta tambah panjang. Jika panjang maksimum rendah, gunakan panjang terbesar yang diterima dan pastikan nilainya unik. Jika kata sandi harus dibacakan, dicetak, atau diketik di layar televisi atau router, pertimbangkan untuk mengecualikan karakter yang membingungkan dan menambah panjang untuk mengimbangi alfabet yang lebih kecil.
Terakhir, ingat batas saran kata sandi. Kata sandi yang kuat adalah satu lapis pertahanan, bukan jaminan. Itu tidak dapat membuat halaman phishing aman, memperbaiki malware, atau mengimbangi layanan yang menyimpan kredensial dengan buruk. Kebiasaan yang berguna membosankan tetapi tahan lama: hasilkan nilai unik, simpan dengan aman, lindungi jalur pemulihan, dan ganti dengan cepat jika Anda curiga terpapar.
Langkah aman selanjutnya
Setelah membaca panduan ini, lakukan satu audit akun kecil alih-alih mencoba memperbaiki semuanya sekaligus. Pilih akun yang akan menyebabkan masalah paling besar jika diambil alih, konfirmasi bahwa kata sandinya unik, dan periksa email pemulihan, telepon pemulihan, metode MFA, dan penyimpanan kode cadangan. Jika ada bagian dari rantai itu yang lemah, perbaiki bagian itu sebelum beralih ke akun berisiko lebih rendah. Urutan ini menjaga pekerjaan tetap terkelola dan melindungi akun yang paling mungkin digunakan penyerang sebagai batu loncatan. Untuk apa waktu peretasan kata sandi?, hasil terbaik adalah kebiasaan yang dapat diulang: hasilkan secara lokal, simpan dengan hati-hati, dan hindari penggunaan ulang.
Pertanyaan yang sering diajukan
Mengapa kalkulator waktu retak berbeda pendapat?
Mereka menggunakan asumsi yang berbeda tentang keacakan, jenis hash, perangkat keras, batas online, dan apakah kata sandi sudah diketahui dari kebocoran.
Apakah peretasan offline lebih cepat daripada tebakan online?
Biasanya ya. Penyerang offline dapat mencoba tebakan tanpa batas kecepatan, sementara sistem online dapat membatasi, mengunci, dan memantau percobaan.
Haruskah saya percaya pada hasil “juta tahun” tunggal?
Anggap itu sebagai perkiraan berdasarkan asumsi yang disebutkan, bukan jaminan keamanan.