Cara membuat dan mengelola kata sandi yang kuat
Diperbarui 2026-07-06
Hampir semua orang tahu mereka seharusnya memakai kata sandi kuat, tetapi yang paling umum masih 123456 dan password. Sebagian masalahnya adalah nasihat buruk: bertahun-tahun kita disuruh memakai campuran simbol pendek dan menggantinya tiap bulan, yang ternyata sulit diingat sekaligus tidak terlalu aman. Panduan ini menjelaskan apa yang sebenarnya membuat kata sandi kuat dan cara mengelolanya tanpa membuat Anda pusing.
Apa yang membuat kata sandi kuat
Sebuah kata sandi kuat ketika sulit ditebak dan sulit dibobol paksa — ketika kemungkinannya begitu banyak sehingga mencobanya semua tidak praktis. Dua hal yang menentukannya: panjang dan ketidakterdugaan.
Panjang mengalahkan kerumitan
Setiap karakter tambahan melipatgandakan jumlah kata sandi yang mungkin, jadi panjang adalah faktor tunggal paling ampuh. Frasa-sandi panjang dari kata-kata biasa jauh lebih kuat daripada deretan pendek yang rumit — dan jauh lebih mudah diingat:
Lebih lemah: P@ss1! (8 karakter, tampak "rumit") Lebih kuat: correct-horse-battery-staple (panjang)
Alasan yang rumit itu lebih lemah adalah karena penyerang tahu semua trik biasa — mengganti a jadi @, menambah 1! di akhir — dan perangkat lunak mereka mencoba pola itu lebih dulu. Panjang mentah mengalahkan substitusi yang bisa ditebak.
Ketidakterdugaan (entropi)
Separuh lainnya adalah keacakan. Kata sandi yang dibuat dari campuran karakter yang benar-benar acak atau kata yang dipilih acak punya entropi tinggi — ukuran seberapa tak terduga ia. Apa pun yang berbasis detail pribadi (nama Anda, ulang tahun, hewan peliharaan, tim favorit) berentropi rendah karena bisa ditebak, meski tampak berantakan.
Bagaimana penyerang sebenarnya membobol kata sandi
Memahami ancaman membuat nasihatnya masuk akal:
- Credential stuffing — ketika satu situs bocor, penyerang mencoba pasangan email/kata sandi yang bocor di setiap situs lain. Inilah mengapa memakai ulang kata sandi sangat berbahaya.
- Serangan kamus — mencoba daftar kata sandi dan kata yang umum, termasuk substitusi yang bisa ditebak di atas.
- Brute force — mencoba setiap kombinasi. Panjanglah yang membuat ini sia-sia bagi penyerang.
Tiga aturan yang paling penting
- Buat panjang — targetkan 16+ karakter atau frasa-sandi banyak kata.
- Buat tiap satu unik — jangan pernah memakai ulang kata sandi antar-situs, agar satu kebocoran tak membuka sisanya.
- Buat acak — jangan berbasis apa pun tentang Anda.
Cara cepat membuat satu yang memenuhi ketiganya adalah pembuat kata sandi kami: ia membuat kata sandi acak yang kuat sepenuhnya di browser Anda (tak ada yang dikirim ke mana pun) dan membiarkan Anda menyetel panjang dan jenis karakter. Untuk rahasia mesin-ke-mesin seperti kunci API, pembuat string acak melakukan pekerjaan yang sama.
Cara mengingat semuanya: jangan
Aturan di atas mustahil diikuti dengan ingatan di puluhan akun — itulah persis mengapa orang memakai ulang kata sandi. Jawabannya adalah berhenti mencoba mengingatnya:
- Pakai pengelola kata sandi. Ia membuat, menyimpan, dan mengisikan kata sandi kuat yang unik untuk tiap situs, dan Anda cukup mengingat satu kata sandi induk yang kuat.
- Nyalakan autentikasi dua faktor (2FA). Sekalipun kata sandi bocor, faktor kedua (kode aplikasi atau kunci perangkat keras) menghentikan penyerang untuk masuk. Aktifkan di mana pun tersedia, terutama email dan perbankan.
- Lindungi email Anda di atas segalanya. Akun email Anda bisa mereset sebagian besar kata sandi lainnya, jadi ia layak mendapat kata sandi unik terpanjang Anda dan 2FA.
Yang bisa Anda hentikan
Panduan keamanan modern (termasuk dari NIST) telah membuang dua kebiasaan lama: penggantian berkala paksa (mendorong orang ke variasi lemah yang bisa ditebak) dan aturan wajib simbol/angka sebagai pengganti panjang. Ganti kata sandi ketika ada alasan — kebocoran, perangkat bersama — bukan menurut kalender. Fokuskan energi pada panjang, keunikan, dan pengelola kata sandi, dan Anda akan unggul dari mayoritas besar akun daring.
Lainnya tentang Keamanan & privasi
Lihat semua panduan Keamanan & privasi →Alat yang disebut dalam panduan ini