Apa itu entropi kata sandi?

Entropi mengukur seberapa tidak dapat ditebak suatu kata sandi. Entropi dihitung dengan rumus H = L × log₂(N), di mana L adalah panjang kata sandi dan N adalah ukuran himpunan karakter yang digunakan. Entropi yang lebih tinggi berarti jumlah percobaan yang diperlukan untuk menghancurkan kata sandi tersebut lebih besar. Kata sandi acak 16 karakter dari himpunan karakter cetak lengkap ASCII memiliki sekitar 105 bit entropi — jauh lebih besar dibandingkan kata dengan substitusi l33t-speak.

Apakah frasa pengaman lebih aman daripada kata sandi kompleks?

Ya, jika kata-kata dipilih secara acak. Kalimat Diceware dengan 4 kata memiliki sekitar 51 bit entropi — setara atau lebih baik daripada sebagian besar kata sandi yang dibuat oleh orang-orang secara nyata, dan entropi tersebut dicapai dalam praktiknya karena dadu benar-benar acak. Kata yang telah diterapkan substitusi tidak acak, bahkan jika tampak kompleks.

Apa yang dikatakan NIST tentang kompleksitas kata sandi?

NIST SP 800-63B (2017) menyarankan agar tidak menerapkan aturan kompleksitas wajib dan rotasi berkala. Rekomendasi ini menekankan panjang sebagai faktor utama, memfilter kata sandi terhadap database kebocoran yang diketahui, serta memungkinkan panjang hingga 64 karakter atau lebih. Kebanyakan kebijakan perusahaan masih belum mengejar panduan-panduan ini.

Mengapa perubahan kata sandi yang dipaksa membuat situasi semakin buruk?

Ketika orang-orang dipaksa mengganti kata sandi secara berkala, mereka membuat perubahan yang dapat diprediksi: Password1 → Password2, atau menambahkan musim dan tahun saat ini. Ini telah dikonfirmasi dalam data kebocoran. NIST kini menyarankan agar rotasi berkala tidak dilakukan kecuali ada bukti khusus tentang kebocoran.

Tidak suka iklan? Pergi Bebas Iklan Hari ini 

Mengapa P@ssword1 Tidak Sebenarnya Aman

Diperbarui pada 6 Juni 2026

Aturan kompleksitas kata sandi seharusnya membuat kita lebih aman. Namun, mereka hanya memberikan 'Password1!' di mana-mana. Berikut arti sebenarnya dari entropi, mengapa panjang lebih penting daripada kompleksitas, dan apa yang ditemukan NIST pada tahun 2017.

Mengapa P@ssword1 Tidak Sebenarnya Aman 1

IKLAN · HAPUS?

Kebijakan kata sandi di banyak perusahaan berbunyi seperti ini: minimal 8 karakter, setidaknya satu huruf kapital, satu huruf kecil, satu angka, dan satu karakter khusus. Dan di suatu tempat, seorang manajer IT berpikir bahwa ini adalah cara untuk melindungi sistem.

Sementara itu, 'Password1!' memenuhi semua persyaratan tersebut. Begitu juga 'P@ssw0rd1' dan 'Summer2024!'. Semua kombinasi ini muncul secara teratur dalam database kebocoran — bukan karena tidak ada aturan kompleksitas, tetapi sebagian karena aturan tersebut.

Mengapa Aturan Kompleksitas Tidak Berhasil

Ketika Anda memaksa orang untuk menambahkan huruf kapital, angka, dan simbol, mereka tidak menciptakan keacakan — mereka mengikuti pola. Huruf pertama diubah menjadi kapital. Ganti 'a' dengan '@' dan 'o' dengan '0'. Akhiri dengan '1!' atau tahun saat ini. Setiap aturan penyerangan untuk memecahkan kata sandi mencakup transformasi ini. Menjalankan "kamus + substitusi umum + penambahan angka/simbol" terhadap database hash yang bocor adalah serangan standar, dan ini berhasil karena itu tepatnya yang dilatih oleh kebijakan tersebut.

Kebutuhan kompleksitas memberikan ilusi keamanan sambil secara sistematis mengarahkan pengguna ke pola yang dapat ditebak. Ini adalah teater keamanan dengan tambahan langkah.

Entropi: Hal yang Sebenarnya Penting

Kekuatan kata sandi tergantung pada entropi — ukuran ketidakpastian. Rumusnya sederhana:

H = L × log₂(N)

Di mana L adalah panjang kata sandi dan N adalah ukuran himpunan karakter yang digunakan. Semakin banyak bit = semakin banyak dugaan yang dibutuhkan = lebih sulit untuk dipecahkan.

Kata kunci penting adalah dipilih dari. Rumus ini mengasumsikan setiap karakter dipilih secara acak dari N kemungkinan. Saat manusia memilih karakter, semua perhitungan menjadi tidak valid — karena manusia jelas tidak baik dalam menciptakan keacakan.

Angka-angkanya

Berikut ini adalah perbandingan strategi kata sandi yang umum:

Jenis kata sandi	Contoh	Entropi maksimum teoritis	Entropi efektif di dunia nyata
8 karakter 'kompleks' (kata + substitusi)	P@ssw0rd	~52 bit	~20 bit — penyerang menggunakan serangan berbasis aturan
10 karakter 'kompleks' (kata + angka + simbol)	P@ssw0rd1!	~65 bit	~28 bit — masalah yang sama, sedikit lebih panjang
4 kata passphrase Diceware	correct horse battery staple	~52 bit	~52 bit — benar-benar acak jika koin digunakan
16 karakter acak (seluruh himpunan cetak)	Xk9#mP2vQw7&nZ4j	~105 bit	~105 bit — hanya dapat dicapai dengan manajer kata sandi

"correct horse battery staple" dan "P@ssw0rd" memiliki entropi teoritis yang sama secara kertas — tetapi hanya passphrase yang mencapai entropi tersebut, karena penggunaan koin benar-benar acak dan "kata sandi dengan o→0 dan a→@" tidak. Penyerang tahu semua aturan substitusi yang Anda kenal.

Apa yang Ditemukan NIST pada Tahun 2017

Penerbitan Khusus NIST 800-63B secara diam-diam membalikkan kepercayaan tradisional selama beberapa dekade. Perubahan utama dari revisi tahun 2017:

Tidak ada aturan wajib kompleksitas. Mengharuskan huruf kapital/huruf kecil/angka/simbol tidak meningkatkan keamanan seperti yang dianggap oleh semua orang.
Tidak ada keharusan rotasi berkala. "Ganti kata sandi setiap 90 hari" menghasilkan Password1 → Password2 → Password3. Kecuali ada bukti kebocoran, rotasi justru lebih merugikan daripada membantu.
Panjang lebih baik daripada kompleksitas. Kata sandi yang lebih panjang hampir selalu lebih aman daripada yang pendek dan kompleks. NIST menyarankan minimal 8 karakter dan menyarankan hingga minimal 64 karakter.
Hindari kata sandi yang sudah terbocor. Hindari kata sandi yang muncul dalam database kebocoran yang diketahui. Ini jauh lebih efektif daripada memaksa pengguna menggunakan simbol khusus.

Sebagian besar departemen IT perusahaan masih menjalankan kebijakan tahun 2003 pada tahun 2025. Panduan telah berubah. Tampilan dialog kata sandi belum mengikuti.

Passphrase vs Kata Sandi Kompleks

Komik xkcd "correct horse battery staple" bukan hanya sebuah lelucon — matematikanya berlaku. Sebuah passphrase yang terdiri dari empat kata umum yang benar-benar acak memiliki sekitar 44–52 bit entropi tergantung pada daftar kata. Ini melebihi kebanyakan kata sandi kompleks yang dibuat oleh manusia dalam praktiknya, dan ini sesuatu yang bisa diingat dan diinput oleh manusia.

Kesalahan: kata-kata harus benar-benar acak. "My dog Max loves pizza" bukan passphrase — ini adalah kalimat dengan konteks pribadi yang secara signifikan mengurangi ruang pencarian. Pilih kata menggunakan koin (Diceware) atau generator angka yang benar-benar acak, bukan otak Anda.

Mitos Umum tentang Keamanan Kata Sandi

Mitologi: Simbol khusus membuat kata sandi aman. Hanya jika kata sandi dasarnya acak. Menambahkan '!' ke kata sandi berbasis kata hanya menambahkan sekitar 6 bit entropi dan hampir tidak berpengaruh dalam serangan berbasis aturan.
Mitologi: Kata sandi yang lebih panjang lebih sulit diinput, sehingga lebih buruk dari segi pengalaman pengguna (UX). Sebuah passphrase berempat kata lebih panjang dalam karakter tetapi sering lebih mudah diinput daripada Tr0ub4dor&3.
Mitologi: Rotasi yang sering terjadi berarti keamanan yang lebih baik. Data kebocoran secara konsisten menunjukkan bahwa rotasi yang dipaksa menghasilkan perubahan yang dapat ditebak. NIST kini secara eksplisit menyarankan agar tidak dilakukan kecuali pada kasus kebocoran yang terbukti.
Mitologi: Manajer kata sandi berisiko karena satu kebocoran akan mengungkapkan semua data. Alternatifnya — menggunakan kata sandi lemah di berbagai situs — akan mengungkapkan semua data pada kebocoran pertama di salah satu layanan Anda. Manajer kata sandi menang dalam hal nilai harapan.

Apa yang Sebenarnya Bekerja

Gunakan manajer kata sandi dan biarkan manajer tersebut menghasilkan kata sandi panjang dan benar-benar acak (minimal 16 karakter, himpunan karakter penuh). Anda hanya perlu mengingat satu kata sandi kuat sebagai kata sandi utama; manajer mengelola semua yang lainnya. Bitwarden, 1Password, dan KeePassXC adalah pilihan yang masuk akal tergantung apakah Anda ingin sinkronisasi cloud atau hanya lokal.

Gunakan passphrase Diceware untuk hal-hal yang perlu Anda ketik atau ingat. Gunakan koin secara nyata, cari kata-katanya di daftar kata besar EFF, gabungkan empat atau lima kata bersama. Jangan lewatkan koin — memilih kata secara manual menghancurkan tujuan tersebut.

Anda dapat memeriksa di mana kata sandi sebenarnya berada pada skala entropi dengan Analisis Kekuatan Kata Sandi — ini menunjukkan waktu penyerangan yang diperkirakan, bukan teater hijau/merah/oranye yang ditawarkan oleh sebagian besar situs. Dan jika Anda membutuhkan kata sandi yang benar-benar acak yang dihasilkan, Pembuat Kata Sandi memungkinkan Anda menetapkan panjang dan himpunan karakter dan menghasilkan sesuatu yang bukan 'Summer2025!'

Pesan Akhir

Aturan kompleksitas menang. Mereka sudah terintegrasi ke dalam setiap kebijakan perusahaan, setiap pendaftaran akun konsumen, dan setiap dialog "kata sandi harus mengandung...". Namun, mereka juga gagal — database kebocoran penuh dengan jenis kata sandi yang dihasilkan oleh aturan tersebut.

Panjang dan keacakan yang benar-benar penting adalah alat yang benar-benar memengaruhi entropi. Semua hal lainnya hanyalah kotak centang yang membuat dialog kata sandi terlihat sedang melakukan sesuatu.