Entropi Kata Sandi Dijelaskan: Apa yang Membuat Kata Sandi Kuat
Ketika sebuah situs web memberi tahu Anda bahwa kata sandi Anda "lemah" atau "kuat," itu mengukur entropi — keacakan matematis dari kata sandi Anda. Memahami entropi membantu Anda membuat kata sandi yang benar-benar aman, bukan sekadar sulit diketik.
Apa Itu Entropi?
Entropi, diukur dalam bit, mengukur seberapa tidak terduga sebuah kata sandi. Setiap bit entropi menggandakan jumlah kemungkinan kata sandi yang harus dicoba oleh penyerang. Rumusnya adalah:
Entropy = log₂(C^L)
Di mana:
- C = ukuran kumpulan karakter
- L = panjang kata sandi
Atau: Entropi = L × log₂(C)
Entropi Berdasarkan Kumpulan Karakter
| Kumpulan Karakter | Ukuran Kumpulan (C) | Bit per Karakter |
|---|---|---|
| Hanya angka (0-9) | 10 | 3.32 |
| Huruf kecil (a-z) | 26 | 4.70 |
| Huruf kecil + angka | 36 | 5.17 |
| Huruf campuran (a-z, A-Z) | 52 | 5.70 |
| Huruf campuran + angka | 62 | 5.95 |
| Semua ASCII yang dapat dicetak | 95 | 6.57 |
Contoh perhitungan:
password(8 huruf kecil): 8 × 4.70 = 37.6 bit — dapat dipecahkan dalam hitungan detikP@ssw0rd(8 campuran): 8 × 6.57 = 52.6 bit — dapat dipecahkan dalam hitungan jamcorrect-horse-battery-staple(28 huruf kecil + simbol): entropi efektif jauh lebih tinggi karena panjangnya
Panjang vs. Kompleksitas
Inilah kebenaran yang berlawanan dengan intuisi: panjang berkontribusi lebih banyak terhadap entropi daripada kompleksitas.
| Kata Sandi | Panjang | Entropi | Waktu untuk Memecahkan (1M tebakan/detik) |
|---|---|---|---|
Xy7! | 4 | 26.3 bit | < 1 detik |
Xy7!Qp2$ | 8 | 52.6 bit | 142 tahun |
mysimplepassword | 16 | 75.2 bit | 1,2 miliar tahun |
correct horse battery | 22 | 103 bit | Kematian panas alam semesta |
Kata sandi 16 karakter huruf kecil lebih kuat daripada kata sandi 8 karakter dengan setiap jenis karakter. Inilah mengapa panduan keamanan modern (NIST SP 800-63B) merekomendasikan frasa sandi panjang daripada kata sandi pendek yang kompleks.
Masalah dengan "Aturan Kompleksitas"
Kebijakan kata sandi tradisional (harus menyertakan huruf besar, huruf kecil, angka, simbol) justru kontraproduktif:
- Pola yang dapat diprediksi: Pengguna mengkapitalkan huruf pertama, menambahkan
1!di akhir →Password1! - Sulit diingat: Kata sandi kompleks akhirnya ditulis di catatan tempel
- Keamanan palsu: Kata sandi 8 karakter yang "kompleks" memiliki entropi lebih rendah daripada kata sandi sederhana 16 karakter
Panduan modern dari NIST:
- Minimal 8 karakter, disarankan 15+
- Tidak ada aturan komposisi (huruf besar, simbol, dll.)
- Periksa terhadap database kata sandi yang bocor
- Izinkan semua karakter yang dapat dicetak termasuk spasi
- Tidak ada rotasi periodik paksa
Strategi Frasa Sandi
Frasa sandi menggunakan kata-kata acak alih-alih karakter acak:
method: pick 4-6 random words from a dictionary
example: "timber quantum spoon velocity"
entropy: 4 words × ~12.9 bits/word (from 7,776-word list) ≈ 51.7 bits
better: 6 words ≈ 77.5 bits
Metode Diceware menggunakan daftar 7.776 kata (6^5, sesuai dengan lima lemparan dadu). Setiap kata menambahkan 12,9 bit entropi.
Keuntungan:
- Mudah diingat (Anda bisa memvisualisasikan kata-katanya)
- Panjang (secara alami 20-35 karakter)
- Entropi tinggi dengan kata yang cukup
- Mudah diketik
Buat kata sandi dan frasa sandi acak yang aman dengan Generator Kata Sandi kami.
Kecepatan Serangan Nyata
Entropi hanya berarti relatif terhadap kecepatan serangan:
| Jenis Serangan | Kecepatan | Kata Sandi 40-bit | Kata Sandi 60-bit | Kata Sandi 80-bit |
|---|---|---|---|---|
| Online (dibatasi laju) | 1.000/detik | 12,7 hari | 36.559 tahun | 38 juta tahun |
| Offline (CPU) | 1M/detik | 1,1 detik | 36,5 tahun | 38.334 tahun |
| Offline (kluster GPU) | 1T/detik | < 1 detik | 13 hari | 38 tahun |
| Negara-bangsa | 1P/detik | < 1 detik | < 1 detik | 14 hari |
Untuk akun online dengan pembatasan laju dan penguncian, 40+ bit sudah memadai. Untuk serangan offline (hash kata sandi yang dicuri), 80+ bit adalah minimum. Inilah mengapa algoritma hashing kata sandi seperti Argon2 dan bcrypt ada — mereka membuat setiap tebakan menjadi mahal.
Matematika Pengelola Kata Sandi
Pengelola kata sandi mengubah persamaan sepenuhnya:
- Satu kata sandi utama yang kuat: 80+ bit entropi (frasa sandi 6+ kata)
- Setiap kata sandi lainnya: Dibuat secara acak, 128+ bit, unik per situs
- Tidak ada penggunaan ulang: Kebocoran di satu situs tidak memengaruhi yang lain
Matematika yang mendukung pengelola kata sandi sangat kuat. Satu kata sandi yang digunakan ulang, sekuat apa pun, lebih lemah daripada kata sandi unik yang lemah per situs, karena satu kebocoran membahayakan semua akun.
Mengukur Kata Sandi Anda
Saat mengevaluasi kekuatan kata sandi, pertimbangkan:
- Apakah ada di database kebocoran? — Bahkan kata sandi "kuat" pun lemah jika sudah bocor (periksa haveibeenpwned.com)
- Apakah acak? — Kata sandi yang dipilih manusia memiliki entropi jauh lebih rendah daripada yang acak
- Bagaimana penyimpanannya? — bcrypt dengan cost factor 12 menambahkan ~22 bit entropi efektif dibanding MD5 biasa
Untuk informasi lebih lanjut tentang pembuatan kata sandi yang aman, lihat panduan lengkap pembuatan kata sandi kami.
FAQ
Berapa bit entropi yang saya butuhkan?
Untuk akun online dengan pembatasan laju: minimal 40-50 bit. Untuk kata sandi yang melindungi data terenkripsi (enkripsi disk, kata sandi utama pengelola kata sandi): 80+ bit. Untuk kunci kriptografi: 128+ bit. Jawaban yang tepat tergantung pada apa yang Anda lindungi dan siapa yang mungkin menyerangnya.
Apakah menambahkan simbol ke kata sandi saya membuatnya jauh lebih kuat?
Menambahkan satu simbol meningkatkan kumpulan karakter dari 62 menjadi 95, menambahkan sekitar 0,6 bit per karakter. Untuk kata sandi 8 karakter, itu sekitar 5 bit ekstra — setara dengan menambahkan satu karakter huruf kecil lagi. Panjang hampir selalu merupakan investasi yang lebih baik daripada menambahkan jenis karakter.
Sumber Terkait
- Generator Kata Sandi — Buat kata sandi yang aman secara kriptografis
- Membuat Kata Sandi yang Kuat — Panduan keamanan kata sandi yang komprehensif
- Perbandingan Algoritma Hash — Bagaimana kata sandi disimpan dengan aman