Frasa Sandi vs Kata Sandi — Mengapa Kata Acak Mengalahkan Karakter Kompleks
Anda mungkin pernah diberitahu untuk membuat kata sandi seperti P@$$w0rd123 — huruf besar, huruf kecil, angka, simbol, semuanya. Inilah kebenaran yang tidak nyaman: kata sandi itu buruk. Ia mengikuti pola substitusi yang dapat diprediksi yang dieksploitasi oleh alat cracking dalam hitungan detik. Sementara itu, sesuatu seperti kayu-kuantum-sendok-kecepatan terlihat sederhana tetapi jauh lebih sulit untuk dipecahkan.
Mari kita uraikan alasannya.
Masalah dengan Kata Sandi Tradisional
Kebanyakan orang, ketika dipaksa membuat kata sandi "kompleks", melakukan hal yang sama:
- Mulai dengan kata umum:
password,monkey,dragon - Huruf pertama kapital:
Password - Ganti huruf dengan simbol:
P@ssword - Tambahkan angka:
P@ssword123 - Tambahkan simbol di akhir:
P@ssword123!
Alat cracking tahu ini. Setiap kamus cracking kata sandi utama menyertakan aturan substitusi yang persis ini. Karakter @ menggantikan a, 0 menggantikan o, 3 menggantikan e — ini termasuk transformasi pertama yang diuji. Kata sandi "kompleks" Anda mungkin membutuhkan tiga puluh detik untuk dipikirkan, tetapi jatuh dalam serangan otomatis dalam hitungan milidetik.
Masalah mendasar: manusia sangat buruk dalam keacakan. Kita memilih kata bermakna, mengikuti pola yang dapat diprediksi, dan menggunakan kembali trik yang sama. Aturan kompleksitas kata sandi mencoba mengkompensasi ini, tetapi menciptakan rasa aman palsu.
Apa yang Sebenarnya Membuat Kata Sandi Kuat: Entropi
Kekuatan kata sandi diukur dalam entropi — bit keacakan. Setiap bit menggandakan jumlah kemungkinan yang harus dicoba penyerang. Rumusnya sederhana:
Entropi = Panjang × log₂(Ukuran Pool)
Untuk kata sandi acak 8 karakter menggunakan semua 95 karakter ASCII yang dapat dicetak:
8 × log₂(95) = 8 × 6.57 ≈ 52.6 bit
Kedengarannya lumayan, tetapi inilah masalahnya — hanya berlaku jika setiap karakter dipilih sepenuhnya secara acak. Ketika manusia memilih P@ssw0rd, entropi sebenarnya jauh lebih rendah karena pilihannya dapat diprediksi.
Pikirkan seperti ini: entropi mengukur berapa banyak tebakan yang dibutuhkan penyerang. Jika Anda memilih dari kumpulan satu juta kemungkinan, itu sekitar 20 bit. Jika dari satu triliun kemungkinan, itu sekitar 40 bit. Setiap 10 bit tambahan berarti sekitar seribu kali lebih banyak tebakan yang diperlukan.
Frasa Sandi: Kata Acak sebagai Blok Bangunan
Frasa sandi mengambil pendekatan yang sama sekali berbeda. Alih-alih karakter acak, Anda merangkai kata acak:
kayu kuantum sendok kecepatan
Setiap kata dipilih secara acak dari daftar kata yang besar. Jika daftar kata Anda memiliki 2.048 kata, setiap kata menyumbang 11 bit entropi (log₂(2048) = 11). Empat kata acak memberi Anda:
4 × 11 = 44 bit
Dengan daftar kata yang lebih besar berisi 7.776 kata (daftar Diceware standar), setiap kata menyumbang 12,9 bit:
4 × 12,9 = 51,7 bit
6 × 12,9 = 77,5 bit
Keunggulan utama: frasa sandi mudah diingat dan diketik sambil mempertahankan entropi tinggi. Anda bisa membayangkan kayu, partikel kuantum, sendok, dan kecepatan. Gambaran mental itu menempel. Coba lakukan itu dengan xK#9mP!2qL.
Wawasan XKCD
Komik web XKCD dengan terkenal mengilustrasikan konsep ini dalam strip #936. Argumennya: frasa sandi empat kata seperti "correct horse battery staple" memiliki sekitar 44 bit entropi (dengan asumsi daftar ~2.048 kata) dan sangat mudah diingat. Kata sandi "kompleks" seperti Tr0ub4dor&3 memiliki entropi lebih rendah meskipun lebih sulit diketik dan diingat.
Komik itu membuat poin penting yang telah dikatakan peneliti keamanan selama bertahun-tahun: aturan kompleksitas kata sandi kita mengoptimalkan hal yang salah. Mereka membuat kata sandi sulit untuk manusia dan hampir tidak lebih sulit untuk komputer.
Meskipun demikian, contoh XKCD telah banyak dibahas sejak 2011, dan beberapa angka spesifik telah diperdebatkan. Prinsip intinya tetap kokoh: keacakan dan panjang mengalahkan kompleksitas dan kepintaran.
Metode Diceware
Diceware adalah standar emas untuk menghasilkan frasa sandi. Begini cara kerjanya:
- Dapatkan daftar kata — Daftar Diceware klasik berisi 7.776 kata, masing-masing dipetakan ke angka lima digit (11111 hingga 66666)
- Lempar lima dadu (atau satu dadu lima kali) untuk setiap kata
- Cari angka yang dihasilkan dalam daftar kata
- Ulangi untuk setiap kata yang diperlukan (minimal empat, lebih baik enam)
Misalnya, melempar 4-2-5-3-1 mungkin memberi Anda "pensil". Melempar 1-6-3-4-2 mungkin memberi "jangkar". Dan seterusnya.
Mengapa dadu fisik? Karena mereka adalah sumber yang benar-benar acak yang tidak memerlukan kepercayaan pada perangkat lunak. Tentu saja, generator angka acak yang aman secara kriptografis (seperti Web Crypto API yang digunakan di Generator Kata Sandi kami) bekerja sama baiknya dan jauh lebih nyaman.
Keamanan Diceware bergantung pada fakta matematika sederhana: penyerang yang tahu Anda menggunakan Diceware dan tahu daftar kata yang tepat masih menghadapi 7.776^n kemungkinan, di mana n adalah jumlah kata. Itulah definisi keamanan melalui entropi bukan kerahasiaan.
Perbandingan Entropi: Angka Tidak Berbohong
Mari bandingkan strategi kata sandi umum secara langsung:
| Strategi | Contoh | Entropi | Tebakan Diperlukan |
|---|---|---|---|
| 8 karakter acak (huruf kecil) | mqxhplvt | 37,6 bit | ~137 miliar |
| 8 karakter acak (semua ASCII) | kX#9mP!2 | 52,6 bit | ~6 kuadriliun |
| Frasa 4 kata (2.048 kata) | kayu-kuantum-sendok-kecepatan | 44 bit | ~17 triliun |
| Frasa 4 kata (7.776 kata) | celah-cam-ceruk-menara | 51,7 bit | ~3,7 kuadriliun |
| Frasa 6 kata (7.776 kata) | celah-cam-ceruk-menara-langkah-landasan | 77,5 bit | ~2,2 × 10²³ |
| 12 karakter acak (semua ASCII) | Bx!4pQm#9kLz | 78,8 bit | ~4,7 × 10²³ |
Kesimpulan: frasa Diceware enam kata kira-kira setara kekuatannya dengan kata sandi acak 12 karakter — tetapi jauh lebih mudah diingat dan diketik.
Pada satu miliar tebakan per detik (kecepatan serangan offline yang realistis terhadap hash cepat), kata sandi 52-bit bertahan sekitar 52 hari. Frasa sandi 77-bit bertahan sekitar 7 miliar tahun. Itulah perbedaan antara gangguan kecil bagi penyerang dan kematian panas alam semesta.
Kapan Menggunakan Kata Sandi vs Frasa Sandi
Tidak ada pendekatan yang secara universal lebih baik. Inilah kapan masing-masing masuk akal:
Gunakan kata sandi karakter acak ketika:
- Pengelola kata sandi menghasilkan dan menyimpannya — Anda tidak perlu mengetik atau mengingatnya. Gunakan 20+ karakter acak untuk entropi maksimum.
- Ada batasan panjang — Beberapa sistem lama membatasi kata sandi hingga 16 atau bahkan 8 karakter. Karakter acak mengemas lebih banyak entropi per karakter.
- Autentikasi mesin ke mesin — Kunci API, token, dan rahasia harus berupa string acak panjang.
Gunakan frasa sandi ketika:
- Perlu menghafal — Kata sandi master pengelola kata sandi Anda, frasa enkripsi disk, atau kode buka kunci perangkat.
- Sering mengetiknya — Frasa sandi lebih cepat diketik daripada string karakter acak, terutama di ponsel.
- Perlu berbagi secara lisan — Mengatakan "kayu kuantum sendok kecepatan" di telepon jauh lebih mudah daripada mengeja
xK#9mP!2qL. - Ingin keamanan offline — Enkripsi disk dan dompet cryptocurrency mendapat manfaat dari frasa sandi entropi tinggi.
Titik optimal untuk kebanyakan orang: frasa sandi enam kata sebagai kata sandi master pengelola kata sandi Anda, dan kata sandi acak 20+ karakter untuk yang lainnya.
Praktik Terbaik untuk Frasa Sandi
Tidak semua frasa sandi setara. Ikuti aturan ini:
1. Gunakan kata yang benar-benar acak
Kata harus dipilih secara acak, bukan dipilih oleh Anda. Begitu Anda memilih kata yang "masuk akal" atau membentuk kalimat, Anda menghancurkan perhitungan entropi. "Saya sangat suka anjing saya" adalah kalimat, bukan frasa sandi — dan sangat mudah dipecahkan.
2. Minimal empat kata, lebih baik enam
Empat kata dari daftar 7.776 kata memberikan sekitar 52 bit — memadai untuk akun online dengan pembatasan kecepatan. Enam kata memberikan sekitar 78 bit — cocok untuk melindungi data terenkripsi offline. Untuk kasus keamanan tinggi, gunakan tujuh atau delapan.
3. Opsional: tambahkan angka atau simbol
Menyisipkan angka atau simbol acak antara kata menambahkan beberapa bit ekstra dan mengalahkan serangan kamus murni:
kayu-kuantum-7-sendok-kecepatan
kayu!kuantum!sendok!kecepatan
Ini tidak sepenuhnya diperlukan dengan enam kata atau lebih, tetapi merupakan peningkatan berbiaya rendah.
4. Gunakan pemisah
Tanda hubung, spasi, atau titik antara kata meningkatkan keterbacaan tanpa mengurangi keamanan:
kayu-kuantum-sendok-kecepatan
kayu kuantum sendok kecepatan
kayu.kuantum.sendok.kecepatan
Pemisah konsisten apa pun berfungsi. Pilih yang paling mudah Anda ketik.
Kesalahan Umum Frasa Sandi
Menggunakan lirik lagu atau kutipan
"Hidup atau mati, itulah pertanyaannya" bukan frasa sandi — itu kutipan terkenal. Penyerang memelihara daftar frasa umum dari sastra, lagu, film, dan teks keagamaan. Frasa yang dapat dikenali apa pun adalah kerentanan.
Memilih kata terkait
"apel pisang ceri anggur" menggunakan kata acak, tetapi semuanya buah. Korelasi ini secara dramatis mengurangi entropi efektif karena penyerang dapat menargetkan kategori semantik.
Menggunakan terlalu sedikit kata
Dua atau tiga kata dari daftar mana pun tidak cukup. Dengan daftar 7.776 kata, tiga kata hanya memberikan 38,8 bit — dapat dipecahkan oleh cluster GPU dalam hitungan jam.
Membiarkan autocomplete membantu
Jika Anda mengetik kata pertama dan membiarkan ponsel Anda menyarankan kata berikutnya, Anda menghasilkan teks dengan prediktabilitas model bahasa, bukan keacakan dadu. Selalu gunakan generator acak yang tepat.
Bagaimana Alat Kami Membantu
Generator Kata Sandi kami menyertakan mode frasa sandi khusus yang dibangun di atas daftar 2.048 kata yang dikurasi. Setiap kata dipilih menggunakan Web Crypto API — generator angka acak kriptografis yang sama yang digunakan profesional keamanan. Anda dapat mengkonfigurasi jumlah kata, karakter pemisah, dan apakah akan menyertakan angka atau mengkapitalkan kata.
Semua generasi terjadi sepenuhnya di browser Anda. Tidak ada kata yang dikirim ke server mana pun, tidak ada frasa sandi yang dicatat, dan alat ini bekerja offline setelah dimuat. Ini penting untuk menghasilkan kata sandi master dan frasa enkripsi — Anda tidak boleh mempercayakan rahasia terpenting Anda ke server.
Pertanyaan yang Sering Diajukan
Apakah frasa sandi aman jika seseorang tahu saya menggunakan metode Diceware?
Ya. Keamanan Diceware bergantung pada entropi, bukan kerahasiaan metode. Bahkan jika penyerang mengetahui daftar kata tepat dan jumlah kata Anda, mereka masih menghadapi 7.776^n kombinasi yang mungkin. Dengan enam kata, itu lebih dari 2,2 × 10²³ kemungkinan.
Bisakah komputer kuantum memecahkan frasa sandi?
Algoritma Grover secara teoritis mengurangi setengah kekuatan bit (77 bit menjadi ~39 bit efektif). Ini berarti frasa enam kata perlu menjadi frasa dua belas kata untuk ketahanan kuantum. Tetapi komputer kuantum skala besar yang praktis yang mampu melakukan ini belum tersedia. Menggunakan delapan kata hari ini memberikan margin keamanan yang wajar.
Haruskah saya merotasi frasa sandi saya?
Hanya jika Anda mencurigai kompromi. Pedoman NIST (SP 800-63B) secara eksplisit merekomendasikan untuk tidak melakukan rotasi kata sandi berkala paksa, karena menyebabkan kata sandi yang lebih lemah dari waktu ke waktu. Ubah frasa sandi Anda jika layanan dilanggar atau jika Anda membagikannya dengan seseorang.
Ukuran daftar kata apa yang harus saya gunakan?
Lebih besar lebih baik, tetapi dengan pengembalian yang menurun. Daftar Diceware standar (7.776 kata) teruji dengan baik dan direkomendasikan secara luas. Alat kami menggunakan daftar 2.048 kata yang dioptimalkan untuk kemudahan mengingat — setiap kata umum, berbeda, dan mudah dieja. Dengan 2.048 kata, Anda membutuhkan sekitar satu kata ekstra untuk menyamai entropi daftar 7.776 kata.
Sumber Daya Terkait
- Hasilkan Kata Sandi Kuat — panduan komprehensif keamanan kata sandi
- Entropi Kata Sandi Dijelaskan — matematika di balik kekuatan kata sandi
- Panduan Autentikasi Dua Faktor — tambahkan lapisan perlindungan kedua
- Generator Kata Sandi — hasilkan kata sandi dan frasa sandi di browser Anda
🛠️ Hasilkan frasa sandi sekarang: Generator Kata Sandi — 100% gratis, memproses semuanya di browser Anda. Tidak ada data yang diunggah. Coba mode frasa sandi dengan daftar 2.048 kata kami yang dikurasi.