Buat dan jaga kata sandi yang kuat

Diperbarui28 March 2024

Daftar Isi

…Memuat Daftar Isi…

    Kata sandi adalah hal penting dalam menjaga keamanan data dan identitasmu. Sayangnya penyerang mengetahui ini, dan mereka memiliki berbagai cara yang dapat digunakan untuk mengetahui kata sandimu.

    Namun kamu bisa berlindung dari trik tersebut dengan menggunakan beberapa peralatan dan tindakan yang penting.

    Melindungi kata sandimu

    • Selalu gunakan perangkat yang aman, mutakhir, terlindungi dan terpercaya untuk mengakses akunmu dan mengelola informasi sensitif, termasuk kata sandi. Baca panduan tentang Ponsel dan Komputer untuk mempelajari bagaimana memastikan perangkatmu aman.
    • Gunakan pengelola kata sandi. Tidak ada otak manusia yang cukup kuat untuk membuat dan mengingat kata sandi yang cukup panjang, acak, dan unik untuk menjaga semua perangkat dan akun mereka tetap aman. Sebuah pengelola kata sandi membuat dan menyimpan kata sandi tersebut untukmu, melindunginya dengan enkripsi. Pelajari lebih lanjut mengenai pengelola kata sandi yang mana yang bisa kamu gunakan dan bagaimana menggunakannya pada panduan kami tentang pengelola kata sandi.
    • Gunakan autentikasi dua-langkah (2FA atau MFA). Autentikasi dua-langkah (2FA), yang disebut juga autentikasi multi-faktor (MFA) menambahkan unsur autentikasi tambahan ke sistem masukmu. Dengan menggunakan 2FA, kamu bisa memastikan sekalipun seseorang berhasil menebak kata sandimu, mereka tidak bisa masuk karena membutuhkan unsur tambahan yang lebih sulit didapat. Untuk mempelajari bagaimana menggunakan 2FA dengan cara yang paling aman, baca panduan kami tentang autentikasi dua-langkah.

    Baca bagian berikut untuk mempelajari lebih lanjut bagaimana melindungi kata sandi dan akunmu dari serangan yang umum.

    Buatlah kata sandi yang lebih kuat

    Singkatnya, kami menyarankan untuk membuat semua kata sandi yang kamu perlukan menggunakan pengelola kata sandi luring dan hanya memiliki beberapa kata sandi lebih panjang yang bisa kamu ingat untuk membuka kunci perangkat di mana kamu memasang pengelola kata sandi beserta basis datanya.

    Jika kamu memilih untuk membuat semua kata sandi secara manual, berikut adalah hal minimum yang harus kamu lakukan untuk memastikan kata sandimu cukup kuat:

    • Buatlah kata sandi yang panjang - 12 karakter adalah batas minimum yang harus kamu usahakan. 14 akan lebih baik.
    • Gunakan huruf, nomor, dan simbol.
    • Ketahuilah bahwa strategi berikut ini, dengan sendirinya, TIDAK membuat kata sandimu aman. Namun, kamu bisa menambahkannya ke kata sandi yang kuat untuk membuatnya lebih kompleks.
      • Mengganti huruf dengan simbol atau nomor yang serupa (contoh, "a" dengan "@" atau "e" dengan "3"). Ini adalah strategi lama yang sangat dikenal oleh orang yang tahu cara memecahkan kata sandi.
      • Menambahkan tanda seru, nomor, atau tanda baca lainnya di akhir - ini juga strategi yang diketahui, yang bisa ditebak oleh seseorang yang ingin mencoba memecahkan kata sandimu.
      • Memulai Setiap Kata Dengan Huruf Besar - ini juga strategi yang diketahui yang akan masuk dalam percobaan untuk memecahkan kata sandimu.

    Ingat juga rekomendasi berikut:

    • Jangan gunakan satu kata pun yang ada di kamus manapun.
    • Jangan gunakan frasa umum, seperti kutipan terkenal atau kalimat dari lirik lagu dan puisi.
    • Jangan gunakan huruf atau nomor yang berkaitan denganmu atau orang dan organisasi disekitarmu, seperti:
      • nama orang, hewan peliharaan, atau organisasi,
      • tanggal lahir, perayaan yang penting atau hari libur,
      • nomor telepon atau alamat,
      • atau apapun yang bisa diketahui seseorang dengan melakukan pencarian tentangmu dan orang disekitarmu.
    • Ingatlah jika kamu tidak harus sering-sering mengganti kata sandimu. Untuk menentukan waktu untuk mengganti kata sandi, baca Kapan waktunya mengganti kata sandimu.

    Ingatlah beberapa kata sandi yang aman

    Bahkan dengan menggunakan pengelola kata sandi, kamu perlu mengingat beberapa kata sandi yang aman untuk membuka kunci perangkat tempatmu memasang pengelola kata sandi dan untuk membuka kunci basis data pengelola kata sandi, tempat di mana kamu menyimpan kata sandi yang kuat dan unik.

    • Gunakan metode dadu untuk membuat kata sandi kuat yang bisa kamu ingat:
      1. Dapatkan daftar kata-kata bernomor dan 5 buah dadu.
      2. Lempar 5 dadu untuk mendapatkan nomor sebanyak lima digit (misalnya, 6,2,5,1,1).
      3. Gunakan kata di dalam daftar dengan nomor yang sesuai.
      4. Ulangi sampai enam kali. Gunakan keenam kata tersebut sebagai "frasa sandi".
        • Jangan gunakan frasa sandi tersebut untuk yang lain.
      5. Selanjutnya, buat sebuah gambaran dalam pikiran menggunakan kata-kata dalam frasa sandimu, secara berutan. Ini akan membantumu mengingat frasanya.
      6. Berlatihlah memasukkan kata sandi ini secara reguler, dimulai dari setiap hari kemudian setidaknya satu kali seminggu. Pengulangan akan membantumu mengingat kata sandi tersebut.
    • Jika kamu tidak punya dadu dan perlu membuat sebuah kata sandi yang bisa kamu ingat, kamu bisa membuatnya dengan KeePassXC.
    • Sebagai alternatif, kamu bisa menggunakan "metode buku":
      1. Ambil sebuah buku secara acak, yang mungkin tidak terkait dengan aktifitas utamamu.
      2. Buka halaman secara acak di buku tersebut.
      3. Tutup matamu, letakkan jarimu di halaman yang terbuka untuk memilih kata secara acak.
      4. Ulangi proses ini sebanyak 6 kali untuk mendapatkan frasa sandi yang berisi 6 kata-kata acak.
        • Catat bahwa metode ini kurang aman, terlebih jika kamu menggunakan buku yang berada di kantormu, karena metode ini membuat frasa sandi yang tidak terlalu acak. Namun jika kamu tidak mau memasang perangkat lunak dan kamu menggunakan buku atau majalah yang acak, cara itu bisa menjadi alternatif untuk membuat frasa sandi yang bisa kamu ingat.
    Pelajari kenapa kami merekomendasikan ini

    Akan ada beberapa kata sandi yang harus kamu ingat, termasuk kata sandi untuk masuk ke perangkat di mana kamu memasang pengelola kata sandi dan kata sandi utama pada pengelola kata sandimu. Metode dadu bisa membantumu membuat frasa sandi yang mudah diingat namun sangat sulit untuk ditebak, bahkan oleh penyerang yang memiliki banyak waktu dan kemampuan, serta tahu bagaimana cara menggunakan perangkat lunak "pemecah kata sandi".

    Ketika kamu perlu membagikan kata sandi

    • Hindari berbagi kata sandi bila dimungkinkan:
      • Jika kamu harus berbagi kata sandi dengan teman, anggota keluarga, atau kolega, ubah kata sandi tersebut untuk sementara dan bagikanlah kata sandi tersebut. Ubah kembali ke sesuatu yang aman ketika mereka selesai menggunakannya.
      • Pertimbangkan untuk membuat akun terpisah untuk setiap individu yang memerlukan akses ke sebuah layanan; beberapa layanan memungkinkan hal tersebut. Kamu bisa membatasi apa yang bisa dilakukan akun-akun tersebut, dan apa yang bisa mereka lihat.
      • Jika kamu perlu berbagi akses ke perangkatmu, pertimbangkan untuk membuat akun terpisah pada perangkat itu. Lihat panduan dasar keamanan untuk Adroid, Linux, macOS, and Windows untuk instruksi bagaimana cara melakukannya.
        • Pada perangkat iOS, opsi ini tidak tersedia, kecuali kamu menggunakan iPad. Lihat ringkasan iPad Bersama untuk mepelajari cara kerjanya.
    • Jika kamu benar-benar ingin membagikan kata sandi dengan orang lain, kamu bisa mengatur KeePassXC-mu agar bisa digunakan secara kolaboratif. Lihat dokuimentasi KeePassXC untuk mempelajari cara melakukannya.
    Pelajari kenapa kami merekomendasikan ini

    Setiap saat kamu membagikan kata sandi, itu seperti membuat duplikat tambahan dari kunci rumahmu dan memberikannya ke orang lain; ada risiko tambahan berupa orang tersebut kehilangan kuncinya. Kenyataannya lebih berisiko daripada itu, karena "rumah"mu dapat diakses dengan mudah dengan perangkat yang berada jauh tanpa kamu menyadarinya. Mengurangi "serangan di permukaan" ini dengan menghindari berbagi kata sandi dalam keadaan apapun.

    Ketahui jika kata sandimu telah disusupi/ bocor

    • Cari situsweb ';--have i been pwned? untuk melihat jika akunmu dilaporkan telah disusupi.
    • Bahkan jika tidak ada akunmu yang muncul di sini, kamu sebaiknya tetap mengikuti instruksi dalam panduan ini, karena banyak pembobolan akun yang tidak dilaporkan.
    Pelajari kenapa kami merekomendasikan ini

    Penyerang mencari kata sandi yang telah bocor sebelumnya dan tersedia secara daring. Mereka mencoba kata sandi akunmu sampai mereka menemukan yang benar untuk masuk. Menggunakan kata sandi yang sama juga berisiko. Lihat ';--have i been pwned? untuk melihat apakah kata sandimu ada dalam daftar yang digunakan penyerang.

    Ketahuilah bagaimana penyerang bisa menebak kata sandimu

    Ini adalah cara-cara yang paling umum dilakukan penyerang untuk mengetahui kata sandimu:

    1. Mereka bisa menebak kata sandimu:
      • Dengan menggunakan informasi pribadimu seperti tanggal yang penting atau nama, atau juga kutipan terkenal, lagu, atau pengaran yang kamu suka,
      • Menggunakan kamus,
      • Mengganti sedikit kata sandi yang pernah kamu gunakan,
      • Menggunakan perangkat lunak untuk mencoba semua kombinasi kemungkinan untuk membuka akunmu.
    2. Mereka dapat mencari:
      • Tempat kata sandimu tertulis (seperti catatan di sekitar mejamu),
      • Apa yang kamu ketik saat kamu memasukkan kata sandi,
      • Kata sandi yang pernah dibobol dan tersedia secara daring.
    3. Mereka dapat mengelabuimu untuk:
      • Memasang aplikasi berbahaya yang mencatat kata sandimu,
      • Membuatmu mengetikkan kata sandimu ke halaman masuk palsu dengan cara phishing,
      • Memberikan kata sandimu atau informasi lainnya dengan berpura-pura menjadi petugas dukungan layanan atau seseorang yang kamu kenal (dikenal juga sebagai rekayasa sosial).
      • Baca lebih lanjut tentang cara mengenali upaya untuk memaksamu bertindak cepat atau memancing emosimu dalam panduan kami tentang perangkat lunak berbahaya.
    4. Mereka bisa memanfaatkan kerentanan:
      • Meretas situsweb tempat mereka ingin masuk dengan akun dan kata sandimu,
      • Mencuri kata sandimu jika kamu menyimpannya di peramban,
      • Mencuri kata sandimu dari aplikasi yang kamu gunakan di ponsel.

    Jangan berikan kata sandi ketika seseorang mengirimkan surel, telepon, atau mengirimkanmu pesan

    • Pergi ke aplikasi atau situs untuk layanan yang semestinya mengirimkan pesan tersebut untuk memverifikasi permintaannya.
    • Jika terlihat seperti orang atau kantor yang kamu kenal mengirimkan pesan tersebut, hubungi mereka melalui saluran lain untuk memverifikasi apakah mereka benar melakukannya.
      • Contohnya, jika pesan tersebut berupa surel, telepon lah mereka.
      • Jangan mengklik tautan dalam surel atau membalasnya.
    • Waspadalah saat sebuah pesan mencoba menakut-nakutimu, membuatmu penasaran, membuatmu merasa akan kehilangan kesempatan, atau membuatmu bertindak cepat dan tanpa berpikir, hal tersebut bisa jadi adalah percobaan phishing. Berhenti sebentar, tetap tenang, dan cari cara lain untuk memeriksa pesan seperti ini.
    Pelajari kenapa kami merekomendasikan ini

    Penyerang sering kali berpura-pura menjadi orang lain, seperti perwakilan dari bank atau bantuan teknis demi meyakinkan kita untuk memberikan informasi sensitif. Penyerang juga sering memainkan emosi dan sifat alami manusia untuk membuat kita menyerahkan kata sandi yang seharusnya tidak kita lakukan.

    Jika kamu menerima telepon, pesan surel, atau pesan yang meminta kata sandi atau informasi sensitifmu, atau jika sebuah pesan surel atau teks yang disertai tautan memintamu untuk mengekliknya untuk memberikan informasi tersebut, kemungkinan besar seseorang sedang mencoba mengelabuimu.

    Baca lebih lanjut tentang cara mengenali upaya untuk memaksamu bertindak cepat atau memancing emosimu dalam panduan kami tentang perangkat lunak berbahaya.

    Pelajari lebih lanjut tentang phishing dalam Panduan Surveillance Self-Defense tentang cara menghindari serangan phishing.

    Kapan saatnya mengganti kata sandimu

    Ganti kata sandimu segera saat:

    • Akun, perangkat, atau kolega dan orang-orang di sekitarmu sepertinya telah menjadi korban pembobolan.
    • Kamu mendapatkan peringatan yang bisa dipercaya dari layanan yang kamu gunakan bahwa ada percobaan masuk dari perangkat atau lokasi yang tidak dikenal.
      • Lihat laporan berita tentang kebocoran data.
      • Jika kamu menerima surel atau peringatan, periksa kembali situsweb penyedia layanan yang mengirimkan peringatan tersebut.
    • Kamu memasukkan kata sandimu ke perangkat asing, perangkat bersama, atau umum (yang mungkin telah terpasang kode berbahaya).
    • Kamu khawatir jika seseorang melihatmu saat mengetikkan kata sandi.

    Memperkecil kerusakan dengan memperingati orang lain yang mungkin juga terdampak.

    Lihat panduan kami tentang media sosial dan panduan keamanan dasar untuk Android, iOS, Linux, macOS, dan Windows untuk instruksi bagaimana mengganti kata sandi perangkatmu.

    Pelajari kenapa kami merekomendasikan ini

    Penelitian menunjukkan bahwa mengganti kata sandimu berulang kali tidak betul-betul meningkatkan keamanan. Saat orang diharuskan mengganti kata sandi secara sering, mereka cenderung hanya mengubah sedikit kata sandinya, tidak membuat kata sandi yang baru secara keseluruhan. Baca lebih lanjut tentang penelitian ini di posting Bruce Schneier tentang mengapa mengganti kata sandi berulang kali adalah gagasan keamanan yang buruk.

    Akan lebih penting mengganti kata sandimu saat ada pembobolan data. Karena kita tidak selalu tahu kapan data-data telah bocor, kami merekomendasikan mengganti kata sandi, terlebih untuk layanan daring, setiap beberapa bulan sampai satu tahun sekali, atau segera setelah ada keyakinan bahwa kata sandimu dibobol.

    Perhatikan di mana kamu berada dan siapa saja yang dapat melihatmu mengetik kata sandi

    • Jika kamu berada di ruang publik dan mengetik kata sandimu, perhatikan apakah kamu bisa dilihat atau direkam dari belakang.
    • Periksa untuk melihat jika ada orang yang mengawasi papan ketik atau ponselmu saat kamu mengetikkan kata sandi.
    • Gunakan layar pelindung privasi untuk membuat orang sulit melihat apa yang kamu ketik.
    Pelajari kenapa kami merekomendasikan ini

    Musuh bisa memantau dan merekam saat kamu memasukkan kata sandi. Salah satu ponsel aktivis telah disita dengan tuduhan palsu soal penghasutan. Perangkat selulernya terkunci dengan kata sandi yang dia tolak untuk berikan, namun jaksa berhasil membuka kunci ponselnya dan mengakses datanya dengan mengamati rutinitas kesehariannya. Mereka menyadari sebuah CCTV dalam elevator gedung tempat dia tinggal dan berhasil mendapatkan videonya sedang mengetik kata sandi untuk membuka perangkatnya.

    Hindari pembuka kunci sidik jadi atau pengenalan wajah (biometrik)

    • Jika perangkatmu diatur untuk membuka kunci dengan wajah atau sidik jadi, ubah pengaturan tersebut ke menggunakan kata sandi.
    • Lihat panduan keamanan dasar untuk Android, iOS, Linux, macOS, dan Windows untuk instruksi bagaimana melakukannya.
    Pelajari kenapa kami merekomendasikan ini

    Biometrik bisa membuat akses ke perangkatmu lebih cepat, menggunakan ciri-ciri pribadi seperti sidik jari atau wajahmu. Namun, cara ini umumnya merupakan cara yang kurang aman untuk mengunci perangkat dan akunmu. Tidak seperti kata sandi, kamu tidak dapat mengubah sidik jari kapan pun kamu mau. Banyak orang diharuskan memberikan informasi biometrik di bandara, kantor pemerintah, dll. Hal ini menimbulkan potensi risiko bahwa seseorang dapat mengakses akunmu tanpa persetujuanmu. Jika musuh menahan atau memaksamu secara fisik, akan lebih mudah bagi mereka untuk membuka kunci perangkatmu daripada jika kamu mengunci perangkat dengan kata sandi.

    Pikirkan bagaimana dan kapan saat menggunakan kunci masuk

    Beberapa layanan daring mungkin menyarankanmu untuk menggunakan sebuah kunci masuk sebagai pengganti nama pengguna dan kata sandi.

    Kunci masuk menawarkan perlindungan yang lebih kuat terhadap phishing, namun bergantung pada banyak data biometrik dan layanan berbagi awan, yang kami tidak sarankan untuk penggunaan terkait hal sensitif, apalagi untuk kredensial akunmu. Jika kamu pikir kamu terpapar serangan phishing yang canggih, namun, jika kamu memilih melindungi diri atas ancaman ini dengan kunci masuk, gunakanlah tanpa biometrik atau layanan berbagi awan.

    Yang kamu butuhkan untuk mengaktifkan sebuah kunci masuk adalah antara pengelola kata sandi dengan dukungan kunci masuk, atau chip keamanan tingkat tinggi yang ada di komputer atau ponselmu. Dalam banyak kasus, orang-orang membuka kunci masuknya dengan pengelola kata sandi berbasis awan atau metode penguncian perangkat mereka, yang berupa biometrik seperti sidik jari atau wajah.

    Namun hal ini sebenarnya tidak terlalu penting: dalam banyak kasus, kamu bisa menyimpan kunci masuk dengan cara yang lebih aman, baik dengan kunci keamanan fisik atau chip keamanan tinggi yang terpasang pada komputer atau ponselmu, yang kami sarankan untuk dikunci dengan kata sandi, bukan dengan biometrik.

    Kamu juga bisa menyimpan kunci masuk dengan KeePassXC dengan mengaktifkan Integrasi peramban KeePassXC, namun karena cara ini mengandalkan perambanmu, hal tersebut dapat terpapar serangan berbasis peramban dan seharusnya dianggap kurang aman dari cara lain yang mengandalkan perangkat keras dan chip dengan keamanan tinggi.

    Buat pertanyaan pemulihan yang lebih aman

    Banyak layanan web meminta "pertanyaan keamanan" atau "pertanyaan pemulihan" saaat kamu membuat akun. Untuk membuatnya lebih sulit ditebak oleh orang lain, kamu bisa menggunakan strategi berikut:

    • Berikan jawaban palsu yang tidak berkaitan dengan pertanyaan tersebut.
    • Kamu bahkan bisa menggunakan kode acak dan unik yang dihasilkan dari pengelola kata sandimu.
    • Pastikan kamu menyimpan jawabanmu dalam pengelola kata sandi sehingga kamu tidak berisiko melupakan pertanyaan pemulihanmu dan terkunci dari akunmu.
    Pelajari kenapa kami merekomendasikan ini

    Pertanyaan pemulihan penting untuk membantu layanan memverifikasi identitasmu jika mereka mencurigai orang lain mencoba mengakses akunmu. Gunakan jawaban berikut untuk mengubah kata sandimu apabila kamu kehilangan akses ke akunmu. Sayangnya, jawaban dari pertanyaan seperti "Di mana kota kelahiranmu?" atau "Siapa nama hewan peliharaanmu?" bisa ditemukan dengan mudah secara daring. Dengan memberikan jawaban palsu, kamu bisa menyulitkan penyerang untuk membajak akunmu.

    Bacaan lebih lanjut