Berapa panjang seharusnya kata sandi

Kata sandi menjaga hampir semua yang kita lakukan secara online—email, perbankan, media sosial, penyimpanan awan, platform pengembang, dan banyak lagi. Memilih panjang yang tepat (dan komposisi) untuk sebuah kata sandi adalah salah satu cara termudah untuk meningkatkan keamanan tanpa terlalu banyak mengubah alur kerja harian Anda.

Artikel ini menjelaskan berapa panjang kata sandi seharusnya, mengapa panjang penting, apa yang direkomendasikan badan standar terkemuka, dan bagaimana membuat kata sandi yang kuat dan unik yang mudah dikelola.

Apa itu kata sandi yang kuat?

Kata sandi yang kuat adalah yang sulit ditebak atau dihitung oleh penyerang. Kekuatan berasal dari dua unsur utama:

• Panjang: lebih banyak karakter secara dramatis meningkatkan jumlah kemungkinan kombinasi.
• Ketidakpastian: keacakan dan menghindari pola umum atau informasi pribadi.

Ketika kedua faktor tersebut ada, kata sandi akan tahan terhadap serangan brute-force (mencoba kombinasi secara sistematis), serangan kamus (mencoba kata dan pola umum), dan banyak teknik cracking otomatis.

Panjang minimum kata sandi: bidik 16 karakter (atau lebih)

Pakar keamanan secara konsisten menekankan pentingnya panjang. Badan Keamanan Siber & Infrastruktur AS (CISA) merekomendasikan untuk memilih kata sandi yang “Panjang—setidaknya 16 karakter (lebih panjang lebih baik).” Anda bisa membaca panduan mereka di sini: https://www.cisa.gov/secure-our-world/require-strong-passwords

Institut Standar dan Teknologi Nasional (NIST) mengambil sikap serupa dalam Pedoman Identitas Digitalnya, menyoroti bahwa panjang kata sandi adalah faktor utama dalam menentukan kekuatan kata sandi dan bahwa pengguna harus didorong untuk membuat kata sandi yang lebih panjang jika memungkinkan. Lihat: https://pages.nist.gov/800-63-4/sp800-63b.html

Dalam praktiknya, 14 karakter harus dianggap sebagai batas bawah, sedangkan 16+ karakter adalah pengaturan awal yang lebih baik. Untuk akun yang sangat sensitif atau berumur panjang, bahkan lebih panjang adalah bermanfaat—dengan syarat situs tersebut mengizinkannya dan Anda bisa menyimpan kata sandi dengan aman.

Apakah kata sandi terpanjang selalu terbaik?

Lebih panjang hampir selalu lebih kuat terhadap brute force. Tetapi ada beberapa pertimbangan praktis:

• Batas situs: Beberapa layanan membatasi panjang maksimal atau membatasi karakter tertentu. Ketika itu terjadi, gunakan panjang maksimum yang diizinkan dengan keacakan tinggi.
• Kegunaan: Jika Anda mengetik kata sandi pada perangkat kecil atau dalam lingkungan terbatas, string yang sangat panjang mungkin merepotkan—kecuali Anda menggunakan pengelola kata sandi untuk mengisi otomatis.
• Model ancaman: Untuk akun dengan pembatasan laju yang kuat dan otentikasi multi-faktor (MFA), melebihi 20–24 karakter mungkin memiliki hasil yang semakin berkurang dibandingkan dengan mengaktifkan MFA dan memastikan keunikan.

Intinya: Gunakan kata sandi terpanjang dan paling acak yang sesuai dengan kebijakan situs dan alur kerja Anda—kemudian tambahkan MFA jika tersedia.

Apakah saya memerlukan angka, huruf kapital, dan karakter khusus?

Banyak situs mengharuskan campuran set karakter (huruf kecil, huruf besar, digit, simbol). Memasukkan beberapa set secara umum meningkatkan ruang pencarian dan menghambat serangan tebak. Namun, “aturan kompleksitas” kurang penting dibandingkan panjang dan keacakan. Kata sandi acak 20 karakter dengan hanya menggunakan huruf bisa lebih kuat daripada string 8 karakter yang menggabungkan setiap tipe karakter.

Jika sebuah situs memberlakukan aturan komposisi, biarkan pengelola kata sandi Anda membuat kata sandi acak yang memenuhi syarat tersebut. Jika tidak, prioritaskan panjang dan keacakan daripada aturan kompleksitas yang dipaksakan.

Empat set karakter yang sering disebut adalah:

1. Digit (0–9)
2. Huruf kecil (a–z)
3. Huruf besar (A–Z)
4. Simbol (misalnya, ! $ % & ? # @)

Keacakan: kunci kekuatan sebenarnya

Panjang saja tidak cukup jika kata sandi mengikuti pola yang dapat diprediksi. Hindari:

• Pola keyboard seperti 1qaz2wsx atau qwertyuiop
• Kata dan frasa umum (bahkan yang sangat panjang)
• Informasi pribadi (nama, tanggal, alamat)

Dua cara hebat untuk mendapatkan keacakan yang bisa Anda terima:

• Kata sandi acak: Biarkan generator kata sandi membuat string 16–24 karakter yang mencakup beberapa set karakter. Simpan dalam pengelola kata sandi sehingga Anda tidak perlu mengingatnya.
• Frasa sandi: Gunakan 4–6 kata yang dipilih secara acak (bukan kutipan atau lirik lagu umum). Frasa kata acak seperti terowongan-magnet-sutra-oksigen-duet dapat panjang dan lebih mudah diingat. Tambahkan pemisah dan, jika diizinkan, simbol atau angka atau dua.

Mengapa "sangat panjang" masih bisa lemah

Beberapa string panjang adalah target mudah karena mengikuti pola yang jelas atau muncul dalam dataset pelanggaran. Misalnya, urutan keyboard panjang, blok karakter yang diulang, atau "trik" yang banyak dibagi adalah di antara tebakan pertama yang dicoba alat peretasan modern. Panjang harus dipasangkan dengan ketidakpastian agar efektif.

Sebelum menggunakan kata sandi, sebaiknya memastikan bahwa kata sandi tersebut tidak muncul dalam korpus pelanggaran yang diketahui. Banyak pengelola kata sandi dan alat keamanan menyediakan pemeriksaan "have I been pwned" atau penyaringan serupa. Anda juga bisa menggunakan penguji kekuatan kata sandi untuk mengevaluasi kata sandi Anda.

Di luar menebak: risiko phishing dan penggunaan ulang

Tidak semua pengambilalihan akun melibatkan menebak. Phishing dan penggunaan ulang adalah penyebab kompromi yang sering terjadi:

• Phishing: Bahkan kata sandi 30 karakter bisa dicuri jika Anda memasukkannya di situs palsu. Gunakan MFA di mana pun mungkin dan pertimbangkan kunci keamanan perangkat keras untuk akun bernilai tinggi.
• Penggunaan ulang: Jika Anda menggunakan ulang kata sandi, pelanggaran di satu situs dapat menyebar ke yang lain. Kata sandi unik per situs membatasi jangkauan kerusakan.

Panjang membantu melawan tebakan, tetapi phishing dan penggunaan ulang dapat diminimalkan dengan MFA dan pengelola kata sandi yang membuat kredensial unik menjadi mudah.

Praktik terbaik kata sandi yang kuat

• Gunakan pengelola kata sandi: Buat dan simpan kata sandi yang unik dan acak untuk setiap akun. Ini menghilangkan kebutuhan untuk mengingatnya dan menyederhanakan penggunaan string panjang.
• Lebih suka panjang dan keacakan: Bidik 16+ karakter. Jika memungkinkan, sertakan beberapa set karakter, tetapi jangan korbankan panjang untuk memenuhi aturan sembarangan.
• Aktifkan MFA di mana saja: Autentikator berbasis aplikasi TOTP, autentikator berbasis push, atau kunci perangkat keras secara signifikan mengurangi risiko.
• Jangan gunakan ulang kata sandi: Satu situs, satu kata sandi—selalu.
• Hindari informasi pribadi dan pola: Tidak ada nama, tanggal lahir, alamat, atau jalur keyboard.
• Tinjau secara berkala akun penting: Email, layanan keuangan, platform pengembang, dan konsol admin memerlukan perhatian ekstra.

Mengelola kata sandi unik dan kuat untuk setiap akun

Cara praktis untuk menskalakan kata sandi unik 16–24 karakter di puluhan (atau ratusan) situs adalah dengan menggunakan pengelola kata sandi. Dengan pengelola, Anda bisa:

• Membuat kata sandi kuat yang disesuaikan dengan kebijakan situs (coba generator kata sandi kami)
• Mengisi otomatis untuk menghindari kesalahan ketik (dan mengurangi eksposur ke pengintip bahu)
• Sinkronkan dengan aman di berbagai perangkat
• Periksa untuk penggunaan ulang, kelemahan, atau kata sandi yang telah dilanggar (gunakan penguji kekuatan kata sandi kami)

Jika suatu situs membatasi panjang atau simbol, atur generator sesuai—tetap memprioritaskan panjang maksimum.

Rekomendasi cepat

• Akun sehari-hari: 16-20 karakter acak
• Akun bernilai tinggi (email, perbankan, admin awan): 20-24 karakter acak + MFA
• Rahasia jangka panjang (kunci API, kunci SSH): gunakan penyimpanan pengelola; ikuti panduan platform; lebih suka frasa sandi hanya jika benar-benar acak

Pemikiran akhir

Berapa panjang seharusnya kata sandi? Selama situs mengizinkan—bidik setidaknya 16 karakter—dan buatlah acak dan unik. Tambahkan MFA untuk lapisan kedua yang kuat. Dengan pengelola kata sandi yang menangani pembuatan dan penyimpanan, Anda bisa memiliki keamanan yang kuat tanpa beban kognitif tambahan.