Alat Kata Sandi Kembali ke generator

Panduan keamanan

Mengapa Anda Tidak Harus Menggunakan Ulang Kata Sandi

Pahami credential stuffing, risiko penggunaan ulang kata sandi, dampak kebocoran data, dan mengapa setiap akun memerlukan kata sandi unik.

Ringkasan

Penggunaan ulang kata sandi adalah salah satu cara paling umum di mana satu kebocoran menjadi banyak pengambilalihan akun. Kata sandi bisa panjang dan acak, tetapi jika Anda menggunakannya di lebih dari satu layanan, kebocoran dari satu layanan dapat mengekspos yang lain.

Gunakan pembuat kata sandi acak untuk membuat nilai unik untuk setiap akun.

Credential stuffing

Penyerang mengumpulkan pasangan nama pengguna dan kata sandi yang bocor dari kebocoran, phishing, malware, dan dump publik. Mereka kemudian mencoba kredensial tersebut di layanan email, perbankan, belanja, sosial, dan kerja. Serangan ini berhasil karena banyak orang menggunakan ulang kata sandi.

Mengapa keunikan penting

Keunikan mengisolasi kerusakan. Jika satu layanan menyimpan kata sandi dengan buruk atau mengalami kebocoran, kata sandi yang terekspos seharusnya tidak dapat membuka kunci email, bank, penyimpanan cloud, atau akun kerja Anda.

Rekomendasi praktis

Panduan terperinci

Panduan ini berfokus pada pemahaman mengapa penggunaan ulang kata sandi menciptakan risiko pengambilalihan akun. Ditulis untuk pengguna yang menggunakan satu kata sandi favorit di banyak layanan, sehingga tujuan praktisnya bukan untuk membuat klaim keamanan yang dramatis. Tujuannya adalah memilih kebiasaan kata sandi yang dapat bertahan dalam penggunaan sehari-hari: formulir masuk, pengelola kata sandi, keyboard ponsel, pemulihan akun, perangkat bersama, dan sesekali layanan dengan aturan validasi yang aneh. Rekomendasi yang aman hanya berguna jika orang sungguhan dapat mengikutinya secara konsisten.

Titik awal teraman adalah keacakan ditambah keunikan. Keacakan berarti nilai dipilih dari ruang yang luas oleh sumber acak yang sesuai secara kriptografis, bukan diciptakan dari ulang tahun, nama hewan peliharaan, pola keyboard, atau kutipan favorit. Keunikan berarti kata sandi yang sama tidak digunakan di tempat lain. Kata sandi yang panjang tetapi digunakan ulang dapat gagal dengan cepat setelah satu kebocoran yang tidak terkait, sementara kata sandi acak yang unik membatasi kerusakan hanya pada satu akun tempat ia digunakan.

Untuk topik ini, preset praktis adalah kata sandi acak unik untuk setiap akun, disimpan di pengelola. Anda dapat menerapkan preset itu dengan pembuat kata sandi 16 karakter dan kemudian menyimpan nilai akhir di pengelola kata sandi tepercaya. PwdGen menghasilkan nilai secara lokal di browser dengan Web Crypto; kata sandi yang dihasilkan tidak dikirim ke server PwdGen. Desain lokal itu mengurangi paparan sisi server, tetapi tidak melindungi terhadap setiap ancaman. Ekstensi browser berbahaya, perangkat yang dikompromikan, halaman phishing, atau penanganan clipboard yang tidak aman masih dapat mengekspos rahasia setelah dihasilkan.

Masalah paling umum yang harus dihindari adalah credential stuffing, kebocoran lama, halaman phishing, akun bersama, dan kata sandi pemulihan yang digunakan ulang. Masalah-masalah ini penting karena penyerang jarang perlu memaksa semua kemungkinan kata sandi ketika kebiasaan manusia memberi mereka jalan pintas. Credential stuffing, phishing, daftar kata sandi bocor, dan penyalahgunaan pemulihan akun seringkali lebih realistis daripada pencarian matematis murni. Itulah mengapa saran terbaik menggabungkan kualitas kata sandi dengan kontrol tingkat akun seperti MFA, passkey, penyimpanan kode pemulihan, dan peninjauan rutin pengaturan email atau telepon pemulihan.

Gunakan daftar periksa ini saat menerapkan rekomendasi:

Jika situs web menolak pengaturan ideal, jangan paksa kata sandi ke pola yang lebih lemah secara manual. Sesuaikan satu variabel pada satu waktu. Jika simbol ditolak, pertahankan huruf besar, huruf kecil, dan angka aktif serta tingkatkan panjang. Jika panjang maksimum rendah, gunakan panjang terbesar yang diterima dan pastikan nilainya unik. Jika kata sandi harus dibacakan, dicetak, atau diketik di layar televisi atau router, pertimbangkan untuk mengecualikan karakter yang membingungkan dan tingkatkan panjang untuk mengkompensasi alfabet yang lebih kecil.

Terakhir, ingat batasan saran kata sandi. Kata sandi yang kuat adalah satu lapisan pertahanan, bukan jaminan. Ia tidak dapat membuat halaman phishing aman, memperbaiki malware, atau mengkompensasi layanan yang menyimpan kredensial dengan buruk. Kebiasaan yang berguna adalah membosankan tetapi tahan lama: buat nilai unik, simpan dengan aman, lindungi jalur pemulihan, dan ganti dengan cepat jika Anda mencurigai paparan.

Langkah aman selanjutnya

Setelah membaca panduan ini, lakukan satu audit akun kecil alih-alih mencoba memperbaiki semuanya sekaligus. Pilih akun yang akan menyebabkan masalah terbesar jika diambil alih, konfirmasi bahwa kata sandinya unik, dan periksa email pemulihan, telepon pemulihan, metode MFA, dan penyimpanan kode cadangan. Jika ada bagian dari rantai itu yang lemah, perbaiki bagian itu sebelum beralih ke akun berisiko lebih rendah. Urutan ini menjaga pekerjaan tetap terkelola dan melindungi akun yang paling mungkin digunakan penyerang sebagai batu loncatan. Untuk mengapa Anda tidak boleh menggunakan ulang kata sandi, hasil terbaik adalah kebiasaan yang dapat diulang: buat secara lokal, simpan dengan hati-hati, dan hindari penggunaan ulang.

Pertanyaan yang sering diajukan

Apa itu credential stuffing?

Credential stuffing adalah ketika penyerang mencoba pasangan nama pengguna dan kata sandi yang bocor di layanan lain.

Apakah penggunaan ulang tetap berisiko jika kata sandinya kuat?

Ya. Kata sandi kuat yang digunakan ulang masih dapat membuka kunci beberapa akun setelah satu layanan membocorkannya.

Apa yang harus saya lakukan setelah menggunakan ulang kata sandi?

Ubah setiap akun yang menggunakannya, mulai dari email, perbankan, kerja, dan akun pemulihan pengelola kata sandi.

Sumber