Cara membuat password yang kuat dan mudah diingat
Password rumit penuh simbol justru sering lemah dan gampang lupa. Ini cara bikin passphrase panjang yang tahan tebakan tapi tetap nempel di kepala.
Bandung2024! punya huruf besar, huruf kecil, angka, dan tanda baca dalam 12 karakter. Di formulir pendaftaran mana pun, indikator kekuatan password akan menyala hijau. Tapi susunan nama kota, tahun, dan tanda seru di ujung adalah pola yang dipakai jutaan orang, dan pola itu sudah lama tercatat rapi di daftar aturan software penebak password yang bisa diunduh siapa saja.
Di sisi lain, password yang benar-benar acak seperti xK7#mQ2$vL9p memang kuat, tapi berakhir ditempel di sticky note atau di-reset setiap kali dibutuhkan. Dua tuntutan itu terlihat bertabrakan: harus sulit ditebak mesin, tapi harus gampang diingat manusia.
Ternyata tidak bertabrakan. Yang selama ini salah adalah asumsinya - bahwa kekuatan password datang dari kerumitan karakternya.
Kenapa password rumit malah gampang ditebak
Aturan “wajib ada huruf besar, angka, dan simbol” lahir dari niat baik, tapi hasilnya seragam. Ketika dipaksa memenuhi syarat itu, hampir semua orang bereaksi dengan cara yang sama: huruf besar ditaruh di karakter pertama, angka dan tanda seru ditempel di belakang. Sisanya kata biasa yang bisa diingat.
Substitusi huruf juga bukan trik rahasia. Mengganti a jadi @, o jadi 0, i jadi 1, s jadi 5 sudah jadi aturan standar di alat penebakan password seperti hashcat dan John the Ripper. Keduanya perangkat lunak terbuka yang lazim dipakai penguji keamanan, dan berkas aturannya menerapkan semua variasi itu secara otomatis dalam hitungan detik. P@ssw0rd! bukan password rumit, itu password password yang dikenali mesin lewat satu aturan.
Yang lebih penting lagi: tebak-menebak bukan cara paling umum akun jebol. Cara yang jauh lebih sering berhasil adalah credential stuffing. Satu situs kecil kebobolan, daftar email dan password ikut bocor, lalu robot mencoba pasangan yang sama ke ratusan layanan lain. Tidak ada tebakan sama sekali di sini. Penyerang cuma memakai ulang apa yang sudah kamu berikan sendiri ke situs yang lemah.
Artinya password Bandung2024! yang dipakai di 20 akun tetap jebol semuanya begitu satu di antaranya bocor, tidak peduli seberapa banyak simbol di dalamnya.
Panjang menang telak atas simbol
Ada hitungan sederhana yang menjelaskan kenapa. Jumlah kemungkinan sebuah password adalah ukuran himpunan karakter dipangkatkan panjangnya.
- 8 karakter, huruf kecil saja (26 pilihan): sekitar 2 x 10^11 kemungkinan
- 8 karakter, campur huruf besar-kecil, angka, simbol (sekitar 95 pilihan): sekitar 6,6 x 10^15 kemungkinan
- 16 karakter, huruf kecil saja: sekitar 4,4 x 10^22 kemungkinan
Perhatikan baris ketiga. Password 16 karakter yang cuma berisi huruf kecil punya ruang tebakan sekitar tujuh juta kali lebih besar daripada password 8 karakter yang penuh simbol. Menambah panjang menaikkan angka secara eksponensial; menambah jenis karakter cuma memperlebar alasnya.
Dua catatan penting supaya hitungan ini tidak menyesatkan. Pertama, semua angka di atas berlaku hanya kalau karakternya dipilih acak. kucingkucingkucing panjangnya 18 karakter, tapi ruang tebakannya jauh lebih kecil karena tersusun dari satu kata yang diulang. Kedua, kecepatan penebakan bergantung pada cara situs menyimpan password. Situs yang menyimpan dengan algoritma lawas dan lemah bisa ditembus jauh lebih cepat daripada situs yang memakai algoritma yang memang dirancang lambat. Kamu tidak bisa mengendalikan bagian ini, dan itulah alasan tambahan untuk tidak memakai password yang sama di mana-mana.
Kesimpulannya praktis: kejar panjang lebih dulu. Kalau situsnya membatasi panjang maksimum di angka pendek seperti <12 karakter, ambil batas maksimum yang diizinkan dan pastikan 2FA aktif.
Passphrase: 20 karakter yang nempel di kepala
Passphrase adalah rangkaian beberapa kata yang dipilih acak. Panjangnya otomatis melewati 20 karakter, tapi otakmu memprosesnya sebagai empat atau lima potongan, bukan dua puluh huruf terpisah.
Kata kuncinya di “dipilih acak”. Kalau kamu mengarang kalimat sendiri, tata bahasa dan asosiasi pikiranmu memangkas kemungkinannya secara drastis: setelah kata “makan”, kata berikutnya kemungkinan besar makanan. Mesin memanfaatkan pola itu.
Metode diceware menyelesaikan masalah tersebut dengan memindahkan pilihan ke dadu. Daftar diceware berisi 7.776 kata, masing-masing dipetakan ke lima angka hasil lemparan dadu. Lempar lima kali, cari kodenya di daftar, dapat satu kata. Ulangi. Enam kata dari daftar itu menghasilkan sekitar 7,8 x 10^22 kombinasi, setara sekitar 77 bit keacakan. Empat kata memberi sekitar 52 bit, cukup untuk akun sehari-hari yang dilindungi 2FA.
Kalau tidak mau repot dengan dadu, hampir semua password manager punya tombol generate passphrase yang melakukan hal yang sama memakai pengacak sistem.
Beberapa rambu:
- Jangan pakai contoh passphrase yang pernah dipublikasikan di mana pun. Begitu sebuah contoh terbit, ia masuk daftar tebakan.
- Kata berbahasa Indonesia tidak lebih aman dari kata Inggris. Kekuatannya datang dari acaknya pemilihan, bukan dari bahasanya.
- Kalau situs mewajibkan angka atau simbol, sambung kata dengan tanda hubung dan tempel satu angka acak. Jangan tempel tahun kelahiran.
- Passphrase memang lebih panjang diketik. Untuk akun harian, biarkan password manager yang mengetiknya. Hafalkan hanya master password.
Password manager: satu-satunya jalan realistis
Orang biasa punya puluhan akun. Tidak ada yang sanggup menghafal 50 string acak, dan setiap sistem hafalan yang kamu ciptakan sendiri pasti menghasilkan pola yang bisa ditebak.
Pilihan yang lazim dan matang: Bitwarden dan Proton Pass punya versi gratis, KeePassXC menyimpan berkas terenkripsi sepenuhnya di perangkatmu tanpa server, sementara 1Password berbayar. Bawaan sistem seperti Google Password Manager dan iCloud Keychain juga sah, meski brankasnya terikat satu ekosistem. Batasan tiap paket berubah dari waktu ke waktu, jadi cek situs resminya sebelum memilih.
Yang penting dipahami: password manager yang layak memakai enkripsi tanpa-pengetahuan. Brankas dienkripsi di perangkatmu sebelum dikirim, dan penyedia tidak menyimpan kunci pembukanya. Kalau server mereka dibobol, yang dicuri gumpalan data terenkripsi. Kekuatan master password kamulah yang menentukan seberapa lama gumpalan itu bertahan.
Jadi susunannya jadi begini: satu passphrase panjang yang kamu hafal, ditambah 2FA di brankas itu, membuka ratusan password acak yang tidak perlu kamu ingat sama sekali.
Lapisan kedua saat password tetap bocor
Password bagus tetap bisa bocor lewat jalur yang tidak melibatkan kekuatannya sama sekali: situs palsu, malware pencatat ketikan, atau kebobolan di sisi layanan. Lapisan kedua yang menentukan apakah kebocoran itu berujung akun jebol.
Urutan kekuatan 2FA dari yang paling rapuh: kode lewat SMS, kode dari aplikasi berbasis waktu, lalu kunci fisik. SMS rentan karena nomor bisa dibajak lewat penukaran SIM, tapi tetap jauh lebih baik daripada tidak ada apa-apa. Aplikasi kode waktu adalah titik seimbang untuk hampir semua orang.
Passkey melangkah lebih jauh. Kunci rahasianya tidak pernah meninggalkan perangkat atau password managermu, situs cuma memegang kunci publik, dan karena kuncinya terikat ke alamat domain asli, situs palsu tidak bisa memancingnya keluar. Dukungannya masih tersebar tidak merata dan penamaan menunya berubah-ubah, jadi periksa halaman keamanan tiap akun. Aktifkan bila tersedia, tapi jangan hapus password lama sebelum jalur cadangannya jelas.
Kesalahan yang masih sering terjadi
Beberapa kebiasaan bertahan lama padahal masalahnya sudah lama diketahui.
Mengirim password lewat chat. Password yang dikirim di WhatsApp atau Telegram menetap di riwayat percakapan kedua belah pihak, ikut tersalin ke cadangan cloud, dan masih terbaca berbulan-bulan kemudian oleh siapa pun yang membuka HP itu. Kalau harus berbagi akses, pakai fitur berbagi di password manager. Kalau terpaksa lewat chat, ganti passwordnya segera setelah dipakai.
Menyimpan daftar password di catatan HP atau berkas spreadsheet. Berkas semacam ini umumnya tidak terenkripsi dan ikut tersinkronisasi ke cloud. Satu akun cloud jebol, seluruh daftarnya ikut terbuka sekaligus. Kalau kamu memang ingin menyimpannya luring, KeePassXC melakukan hal yang persis sama tapi berkasnya terenkripsi.
Mengandalkan indikator kekuatan password di formulir pendaftaran. Kebanyakan indikator itu cuma menghitung ada tidaknya huruf besar, angka, dan simbol. Mereka meloloskan P@ssw0rd1 sebagai kuat, dan tidak jarang menandai passphrase panjang berisi huruf kecil sebagai lemah. Warnanya bukan ukuran keamanan.
Login lewat tautan di email. Halaman reset password palsu adalah jalur pancingan yang paling produktif. Ketik sendiri alamat situsnya di browser, atau buka lewat autofill password manager. Autofill punya keuntungan yang jarang disadari: ia menolak mengisi password di domain yang tidak cocok, sehingga sekaligus berfungsi sebagai pendeteksi situs palsu yang lebih teliti daripada matamu.
Menyamakan semua kertas catatan. Master password di kertas dalam laci terkunci di rumah itu masuk akal, karena penyerangmu ada di internet, bukan di kamarmu. Kertas yang sama ditempel di monitor kantor yang dilewati puluhan orang tiap hari jelas cerita lain. Konteksnya yang menentukan, bukan kertasnya.
Prioritas kalau waktumu terbatas
Jangan coba membereskan semua akun dalam satu malam. Kerjakan bertingkat:
- Email utama. Hampir semua layanan mengirim tautan reset ke sini. Siapa yang menguasai emailmu menguasai sisanya. Passphrase terkuat dan 2FA wajib di sini.
- Akun password manager. Ini brankas semua yang lain.
- Bank, dompet digital, akun pajak dan layanan pemerintah. Kerugian langsung ada di sini.
- Media sosial dan marketplace. Titik penyalahgunaan identitas dan penipuan ke kontakmu.
- Sisanya. Forum, newsletter, aplikasi yang dipakai sekali. Tetap unik, tapi tidak perlu diprioritaskan.
Sekalian bereskan pertanyaan keamanan. Nama ibu kandung dan kota kelahiran bisa ditemukan orang lain, jadi jawaban jujur di sana justru melemahkan akun yang passwordnya sudah kamu perkuat. Isi dengan string acak dari password manager, simpan sebagai catatan di entri yang sama.
Terakhir, satu kebiasaan yang perlu dilepas: menaruh pengingat ganti password tiap tiga bulan. Rotasi paksa tanpa sebab mendorong pola bertingkat yang gampang ditebak. Ganti saat ada alasan nyata, dan cukup jalankan laporan keamanan di password manager setiap enam bulan untuk membereskan yang lemah atau kembar.
Kalau kamu sedang membereskan akun pesan yang paling sering jadi sasaran, panduan cara amankan WhatsApp dari diretas menjelaskan verifikasi dua langkah dan tanda-tanda akun sedang dibajak. Dan kalau ternyata kamu terlanjur lupa kunci perangkatmu sendiri, cara unlock HP Android yang lupa pola atau PIN membahas jalur pemulihan yang tidak mengorbankan data.
Langkah-langkahnya
-
Cek dulu password mana yang sudah bocor
Sebelum bikin yang baru, cari tahu mana yang sudah rusak. Buka haveibeenpwned.com, masukkan alamat emailmu, dan lihat daftar layanan yang pernah kebobolan. Situs ini juga punya halaman Pwned Passwords untuk mengecek apakah sebuah password muncul di kebocoran publik - pengecekannya memakai potongan hash, jadi password utuhmu tidak dikirim ke server mereka. Kalau ragu, jangan ketik password yang masih aktif di situs mana pun; cukup asumsikan bocor lalu ganti. Catat hasilnya di kertas: akun mana yang muncul, dan akun mana yang memakai password yang sama. Daftar inilah antrean kerjamu, bukan seluruh akun sekaligus.
-
Susun passphrase dari kata yang dipilih acak
Ambil 4-6 kata yang tidak berhubungan satu sama lain, lalu sambung dengan tanda hubung. Kuncinya di kata acak - bukan kalimat karanganmu. Kalimat bergramatika seperti 'aku suka makan bakso' mudah ditebak karena kata berikutnya bisa diprediksi. Cara paling bersih: pakai tombol generate passphrase di password manager, atau lempar dadu memakai daftar diceware (7.776 kata, 5 lemparan per kata). Enam kata dari daftar itu memberi sekitar 77 bit keacakan, cukup untuk master password. Empat kata sudah layak untuk akun biasa. Jangan pakai contoh passphrase yang pernah kamu baca di artikel mana pun, termasuk artikel ini, karena contoh publik langsung masuk daftar tebakan.
-
Pasang password manager sebelum bikin password baru
Bikin 50 password acak tanpa tempat menyimpan hanya berakhir dengan reset berulang. Pilih satu: Bitwarden dan Proton Pass punya versi gratis, KeePassXC menyimpan berkas terenkripsi di perangkatmu sendiri tanpa server, 1Password berbayar. Bawaan Google Password Manager atau iCloud Keychain juga jauh lebih baik daripada memakai ulang satu password, meski terikat pada satu ekosistem. Batasan tiap tier gratis berubah dari waktu ke waktu, jadi cek situs resminya sebelum memutuskan. Pasang di HP dan laptop sekaligus, aktifkan autofill, lalu impor password yang sudah tersimpan di browser supaya kamu punya daftar lengkap akun yang perlu dibereskan.
-
Bikin satu master password yang benar-benar kuat
Master password adalah satu-satunya yang wajib kamu hafal, jadi berikan porsi terbesar. Pakai passphrase 5-6 kata acak, jangan pernah dipakai di layanan lain, dan jangan pernah diketik di perangkat yang tidak kamu percayai. Tulis di kertas, simpan di laci terkunci atau brankas di rumah - ini bukan kelalaian, ini cadangan yang masuk akal, karena pencuri passwordmu ada di internet, bukan di lemarimu. Ketik ulang master password itu setiap hari selama seminggu pertama sampai jarimu hafal sendiri. Setelah itu barulah simpan kertasnya. Aktifkan juga 2FA di akun password manager, supaya master password saja tidak cukup untuk membuka brankasmu.
-
Ganti password akun penting lebih dulu, jangan semua sekaligus
Urutannya: email utama, akun password manager, lalu bank dan dompet digital, lalu akun pemerintah dan pajak, baru media sosial dan marketplace. Email duluan karena hampir semua layanan mengirim tautan reset ke sana - siapa yang menguasai emailmu menguasai sisanya. Untuk tiap akun, buka halaman ganti password, klik tombol generate di password manager, ambil 16-20 karakter acak, simpan, lalu logout dan login ulang untuk memastikan tersimpan benar. Kalau situsnya menolak simbol tertentu atau membatasi panjang, panjangkan saja sampai batas maksimum yang diizinkan. Sisakan akun remeh seperti forum dan newsletter untuk belakangan; kerjakan lima akun per hari supaya tidak menyerah di tengah jalan.
-
Aktifkan 2FA di akun yang lapisannya paling dibutuhkan
2FA membuat password bocor tidak otomatis berarti akun jebol. Urutan kekuatan dari yang paling lemah: kode lewat SMS, kode dari aplikasi berbasis waktu, lalu kunci fisik seperti YubiKey. SMS paling rapuh karena nomor bisa dibajak lewat penukaran SIM, tapi SMS tetap jauh lebih baik daripada tidak ada 2FA sama sekali. Kalau layanannya mendukung aplikasi kode waktu, pilih itu. Simpan kode cadangan yang diberikan saat aktivasi - cetak atau tulis tangan, jangan cuma screenshot di galeri HP. Tanpa kode cadangan, HP hilang berarti akun ikut hilang. Menu 2FA biasanya ada di bagian keamanan pengaturan akun, meski penamaannya berbeda tiap layanan.
-
Pakai passkey di layanan yang sudah mendukung
Passkey memakai sepasang kunci kriptografi: kunci rahasia tetap di perangkat atau password managermu, situs cuma menyimpan kunci publik. Tidak ada rahasia bersama yang bisa dicuri dari server, dan situs palsu tidak bisa memancingmu karena passkey terikat ke alamat domain aslinya. Membukanya cukup dengan sidik jari, wajah, atau PIN perangkat. Google, Microsoft, dan Apple sudah mendukung, dan daftar layanan lain terus bertambah - cek halaman keamanan tiap akun untuk memastikan. Aktifkan kalau tersedia, tapi jangan hapus password lamamu dulu: sebagian layanan masih memerlukannya sebagai jalur cadangan saat perangkat utamamu tidak ada di tangan.
-
Beresi pertanyaan keamanan dan jadwalkan tinjauan
Pertanyaan keamanan seperti nama ibu kandung atau kota kelahiran sering jadi pintu belakang yang lebih lemah dari passwordmu, karena jawabannya bisa ditemukan orang lain. Perlakukan sebagai password kedua: isi dengan string acak dari password manager, lalu simpan sebagai catatan di entri akun yang sama. Setelah semua beres, jangan pasang pengingat ganti password rutin. Ganti password hanya saat ada alasan nyata: ada notifikasi kebocoran, kamu curiga diintip, atau kamu pernah memakainya di komputer umum. Cukup jadwalkan satu tinjauan setiap enam bulan untuk menjalankan fitur laporan keamanan di password manager dan membereskan yang lemah atau kembar.
Pertanyaan yang sering ditanya
Apakah password harus diganti rutin tiap 3 bulan?
Tidak, dan justru sebaiknya jangan. Panduan password dari NIST, lembaga standar teknologi pemerintah Amerika Serikat, sudah beberapa tahun ini menyarankan agar organisasi berhenti memaksa pergantian berkala tanpa sebab. Alasannya sederhana: kalau dipaksa ganti tiap kuartal, orang bikin pola bertingkat seperti menambah angka di ujung atau menggeser satu huruf. Pola itu justru mudah ditebak kalau versi lamanya pernah bocor. Ganti password ketika ada pemicu nyata: layananya mengumumkan kebocoran, kamu dapat notifikasi login asing, atau kamu terpaksa mengetiknya di perangkat orang lain. Selebihnya, password acak panjang yang unik per akun lebih baik dibiarkan.
Aman tidak menyimpan password di browser?
Lebih aman daripada memakai ulang satu password di semua akun, tapi ada catatannya. Google Password Manager dan iCloud Keychain kini mengenkripsi data dan bisa dikunci lagi dengan PIN atau biometrik perangkat. Kelemahannya: brankasnya terikat pada satu ekosistem, jadi merepotkan kalau kamu memakai Android di HP dan Windows di laptop. Selain itu, kalau browser tetap login dan laptop dipinjam orang tanpa kunci layar, isinya bisa dibuka. Kalau kamu memilih jalur ini, aktifkan kunci layar, matikan sinkronisasi di komputer bersama, dan pasang 2FA di akun Google atau Apple-mu. Password manager terpisah tetap lebih fleksibel lintas perangkat.
Kalau password manager kena hack, semua akun saya jebol dong?
Ini kekhawatiran yang wajar, tapi hitungannya tidak seperti itu. Password manager yang layak memakai enkripsi tanpa-pengetahuan: brankas dienkripsi di perangkatmu, dan penyedia layanan tidak memegang kunci pembukanya. Kalau server mereka dibobol, yang dicuri adalah gumpalan data terenkripsi, bukan daftar password terbaca. Kekuatan master password kamulah yang menentukan seberapa lama gumpalan itu bertahan, sehingga passphrase panjang jadi penting. Bandingkan dengan risiko sebaliknya: memakai satu password di 40 akun berarti satu kebobolan situs kecil langsung membuka semuanya. Kalau tetap tidak nyaman menaruh data di server orang, pakai KeePassXC yang berkasnya tersimpan lokal.
Boleh pakai nama anak atau tanggal lahir kalau ditambah simbol?
Sebaiknya tidak. Software penebak password punya aturan yang secara otomatis mencoba variasi umum dari kata dasar: menambah tahun di belakang, mengganti huruf a jadi @, o jadi 0, i jadi 1, membesarkan huruf pertama, lalu membubuhkan tanda seru di ujung. Kombinasi itu bukan penemuanmu sendiri, melainkan pola yang dipakai jutaan orang, jadi sudah lama dimasukkan ke daftar aturan penebakan. Ditambah lagi, nama anak dan tanggal lahir sering terpampang di media sosialmu, sehingga penyerang yang menyasar targetnya secara khusus bisa menyusun daftar tebakan yang sangat sempit dan tepat sasaran. Pakai kata acak dari generator, bukan data pribadi.
Bagaimana kalau saya lupa master password?
Di password manager dengan enkripsi tanpa-pengetahuan, tidak ada tombol reset yang bisa dipakai penyedia layanan untuk menolongmu, karena mereka memang tidak memegang kuncinya. Karena itu cadangan harus disiapkan sejak awal, bukan setelah lupa. Tiga langkah minimal: tulis master password di kertas dan simpan di laci terkunci di rumah, simpan kode pemulihan yang diberikan saat pendaftaran, dan ekspor cadangan brankas secara berkala ke berkas terenkripsi di penyimpanan luring. Beberapa layanan menyediakan opsi kontak darurat atau pemulihan lewat perangkat yang sudah masuk. Aktifkan yang tersedia, dan pastikan kertas cadanganmu diketahui satu orang tepercaya seandainya terjadi sesuatu padamu.
Passkey katanya menggantikan password, perlu ganti semua sekarang?
Belum perlu, dan memang belum bisa. Passkey unggul karena tidak ada rahasia bersama yang tersimpan di server layanan dan tidak bisa dipancing situs palsu, sebab kuncinya terikat pada alamat domain asli. Tapi dukungannya masih tersebar tidak merata: banyak layanan lokal belum menyediakannya, dan sebagian yang sudah pun tetap memakai password sebagai jalur cadangan. Langkah realistisnya: aktifkan passkey di akun besar yang sudah mendukung, sambil tetap merapikan password unik untuk sisanya. Pastikan juga passkey-mu tersinkronisasi lewat password manager atau akun sistem operasi, supaya HP hilang tidak berarti kamu terkunci di luar akunmu sendiri.
Password yang sama untuk beberapa akun tidak penting, bahaya juga?
Bahayanya bukan pada akun yang tidak pentingnya, tapi pada penyebarannya. Serangan yang paling sering berhasil adalah credential stuffing: satu forum kecil kebobolan, daftar email dan password bocor, lalu penyerang mencoba pasangan yang sama secara otomatis ke email, marketplace, dan bank. Mereka tidak menebak passwordmu, mereka cuma memakai ulang yang sudah kamu berikan. Masalah lain, kategori 'tidak penting' berubah tanpa kamu sadari - forum hobi lama bisa jadi terhubung ke alamat rumah atau nomor HP-mu. Kalau memakai password manager, membuat password unik untuk akun remeh sama sekali tidak menambah beban ingatan, jadi tidak ada alasan untuk mengulang.
Panduan teknologi & aplikasi lainnya
Cara mengembalikan file terhapus di laptop
File hilang setelah Shift+Delete atau Recycle Bin telanjur dikosongkan? Masih ada lima jalur pemulihan, tapi peluangnya turun tiap menit laptop dipakai.
Cara mengatasi HP yang tidak bisa di-cas
HP tidak mengisi saat dicolok? Urutkan pengecekan dari kabel, adaptor, lubang port, sampai baterai - 8 langkah untuk pisahkan masalah murah dan mahal.
Cara membaca pesan WhatsApp tanpa terlihat online
Baca chat WhatsApp tanpa centang biru dan tanpa status online muncul. Ada 5 cara berbeda - dari matikan read receipts, notifikasi, sampai mode pesawat.