Pemeriksa Kekuatan Kata Sandi Gratis

Cara Menghitung Kekuatan Kata Sandi

Kekuatan kata sandi adalah jawaban dari sebuah pertanyaan sederhana dengan jawaban yang rumit: berapa banyak tebakan yang dibutuhkan penyerang untuk menemukan kata sandi Anda? Rumus naif, bit entropi = panjang × log₂(ukuran himpunan karakter), memberi batas atas yang rapi, tetapi mengasumsikan penyerang melakukan brute force murni di seluruh ruang kunci. Penyerang sungguhan tidak melakukan itu. Mereka mulai dengan kamus kata sandi yang mungkin (korpus rockyou.txt dan satu juta teratas dari pelanggaran publik), menerapkan aturan transformasi yang meniru substitusi yang sebenarnya dilakukan manusia (leet-speak, mengkapitalkan huruf pertama, menambahkan 1 atau ! atau tahun empat digit), dan baru beralih ke brute force ketika pola tidak cocok. Pengukur berbasis kelas karakter melihat P@$$w0rd99 memiliki keempat kelas karakter dan menilainya tinggi. Cracker sungguhan memecahkannya dalam hitungan detik karena setiap pola di dalamnya ada di daftar aturan teratas.

Alat ini melaporkan kedua angka, entropi naif dari himpunan karakter dan panjangnya, ditambah skor kekuatan terpisah yang menurunkan nilai pola yang dapat dikenali (kata kamus, jalur keyboard seperti baris bawah "zxcvbn", pengulangan, urutan, tanggal) seperti yang akan dilakukan penyerang yang berpengetahuan. Kedua angka tersebut akan berbeda ketika kata sandi Anda mengandung struktur yang dapat diprediksi, yang merupakan saat Anda paling perlu mengetahuinya.

Sejarah singkat keamanan kata sandi

Komputer tidak selalu memiliki kata sandi. Sebelum time-sharing tiba di awal 1960-an, sebuah "komputer" adalah mesin pengguna tunggal dan model keamanannya adalah pintu yang terkunci. Cerita arus utama tentang kata sandi komputer dimulai di Project MAC MIT, di mana Compatible Time-Sharing System (CTSS) milik Fernando Corbató membuat satu mesin dapat digunakan oleh banyak orang sekaligus. Begitu banyak pengguna berbagi satu filesystem, orang bisa membaca file satu sama lain. Corbató umumnya diberi penghargaan karena memperkenalkan prompt kata sandi sebagai solusi paling sederhana: rahasia bersama antara pengguna dan mesin yang membuktikan Anda berhak atas file yang Anda minta. Tanggal pastinya diperdebatkan di seluruh sumber sekunder (di mana pun antara tahun 1960 hingga 1963), tetapi pada pertengahan 1960-an kata sandi telah menjadi fitur standar dari sistem multi-pengguna, dan Multics, penerus CTSS yang lebih ambisius yang mulai beroperasi pada tahun 1965, mewarisi dan secara substansial memperluas desain Corbató.

Momen fundamental berikutnya adalah November 1979, ketika Robert Morris dan Ken Thompson di Bell Laboratories menerbitkan "Password Security: A Case History" di Communications of the ACM. Makalah itu pendek, kurang dari lima halaman, dan hampir memalukan karena begitu praktis. Dua gagasan di dalamnya menjadi fondasi setiap penyimpanan kata sandi serius yang dibangun setelahnya. Pertama, hashing satu arah: alih-alih menyimpan kata sandi itu sendiri, sistem menyimpan nilai yang mudah dihitung dari kata sandi tetapi secara praktis tidak mungkin dibalik. Kedua, salting: menambahkan nilai acak 12-bit ke setiap kata sandi sebelum di-hash, sehingga dua pengguna dengan kata sandi yang sama menghasilkan hash tersimpan yang berbeda dan penyerang tidak dapat menghitung sebelumnya satu kamus hash yang berlaku untuk semua orang. Morris dan Thompson mencatat bahwa ini mengalikan pekerjaan menyerang file kata sandi yang dicuri dengan 4.096, yaitu dengan 2¹², ukuran ruang sale. Setiap diskusi tentang bcrypt, scrypt, dan argon2id dalam empat puluh tahun sejak itu, dalam beberapa hal, adalah catatan kaki tentang Morris dan Thompson.

Dari mana angka entropi berasal

Satuan pengukurannya adalah bit entropi, dan itu berasal dari makalah Claude Shannon tahun 1948 "A Mathematical Theory of Communication", diterbitkan dalam dua angsuran di Bell System Technical Journal. Makalah Shannon menemukan bidang teori informasi dan memberi dunia istilah "bit", yang Shannon kreditkan kepada John Tukey. Diterjemahkan ke dalam pengaturan kata sandi, entropi kata sandi adalah log₂ dari jumlah kata sandi berbeda yang bisa dihasilkan oleh proses yang sama. Jika sebuah generator memilih setiap karakter secara independen dan seragam dari himpunan R karakter yang mungkin dan menghasilkan kata sandi dengan panjang L, maka ada R^L kata sandi yang sama-sama mungkin dan entropinya adalah L × log₂(R) bit. Kata sandi yang dipilih secara seragam dari 95 karakter ASCII yang dapat dicetak dengan panjang 12 membawa sekitar 78,8 bit. Setiap bit tambahan menggandakan pekerjaan yang harus dilakukan penyerang; hubungannya bersifat eksponensial, itulah sebabnya perpanjangan dua karakter pada kata sandi yang dipilih secara acak jauh lebih penting daripada substitusi satu karakter. Tangkapannya, dan itu adalah tangkapan besar, adalah bahwa kata sandi nyata hampir tidak pernah dihasilkan dari pengambilan sampel acak seragam. Orang memilih tanggal lahir, nama pasangan, kata kamus, pola keyboard, dan urutan. Oleh karena itu rumus naif adalah batas atas pada kekuatan, dan biasanya batas yang longgar.

NIST dan pergeseran paradigma 2017

Selama beberapa dekade, suara institusional dominan tentang aturan kata sandi di AS adalah NIST, National Institute of Standards and Technology. Publikasi sebelumnya memberi kita kebijaksanaan rakyat tentang kebijakan kata sandi: minimal delapan karakter, campuran huruf besar dan kecil, harus mengandung digit, harus mengandung simbol. Panduan itu disalin secara luas ke dalam kebijakan IT perusahaan lama setelah komunitas riset keamanan menyimpulkan bahwa itu secara aktif kontraproduktif. Pada tahun 2017, dalam NIST Special Publication 800-63B, lembaga tersebut secara resmi membalikkan bagian-bagian paling menyakitkan dari panduan lama. Perubahan utama: tidak ada lagi perubahan kata sandi berkala yang dipaksakan kecuali ada bukti bahwa kata sandi telah disusupi, studi menunjukkan bahwa reset wajib sembilan puluh hari menyebabkan pengguna memilih kata sandi yang lebih lemah dan lebih dapat diprediksi (mengkapitalkan satu huruf dan menambahkan 1 adalah contoh klasik), yang menggagalkan seluruh tujuan rotasi. Tidak ada lagi aturan komposisi wajib, verifikator seharusnya tidak menuntut kelas karakter tertentu, karena mendorong pengguna ke substitusi yang dapat diprediksi seperti P@ssw0rd! alih-alih kata sandi yang lebih kuat. Panjang adalah faktor dominan. Periksa kata sandi terhadap daftar yang diketahui telah disusupi, perubahan operasional yang paling konsekuensial, dan alasan korpus Pwned Passwords dari Have I Been Pwned ada dalam bentuk seperti sekarang. NIST menerbitkan versi final dari revisi besar berikutnya, SP 800-63B-4, pada 31 Juli 2025, memperkuat arah 2017 dan memperluasnya ke autentikator yang tahan phishing (termasuk autentikator yang dapat disinkronkan dari jenis yang digunakan oleh passkey).

zxcvbn, mengapa pengukur modern terlihat sama

Alasan sebagian besar pengukur kekuatan kata sandi yang serius terlihat sama di permukaan adalah karena sebagian besar menjalankan, atau terinspirasi oleh, potongan kode yang sama. Kode itu adalah zxcvbn, sebuah estimator pengenal pola open source yang awalnya dirilis oleh Daniel Lowe Wheeler di Dropbox pada April 2012 dan kemudian diformalkan dalam makalah peer-reviewed di Simposium Keamanan USENIX ke-25 pada Agustus 2016. Namanya sendiri adalah lelucon, itu adalah baris bawah keyboard QWERTY, jenis kata sandi yang dirancang pustaka untuk dikenali dan diturunkan nilainya. zxcvbn mendeteksi kecocokan kamus terhadap sekitar 30.000 kata sandi umum ditambah nama dan nama keluarga sensus AS, kata-kata bahasa Inggris populer, token Wikipedia, dan judul TV/film AS; substitusi leet-speak (jadi p@ssw0rd diperlakukan sebagai password); jalur keyboard seperti qwertyuiop dan asdfghjkl; pengulangan (aaaa, abcabcabc); urutan (abcdef, 12345); dan tanggal dalam rentang yang masuk akal bagi manusia. Kemudian menghitung dekomposisi tebakan minimum, kombinasi termurah dari pola yang dikenali yang menjelaskan seluruh kata sandi, dan mengalikan jumlah tebakan per pola untuk memperkirakan total tebakan yang akan dibutuhkan oleh penyerang yang berpengetahuan. Pustaka ini dapat di-deploy di browser tetapi tidak ringan: dibundel dan diminifikasi, zxcvbn berukuran sekitar 400 KB gzip, sebagian besar adalah kamusnya sendiri. Itu cukup kecil untuk halaman tujuan tunggal seperti ini tetapi cukup berat sehingga pemelihara secara eksplisit memperingatkan terhadap membundelnya ke setiap halaman aplikasi web tujuan umum.

Apa arti sebenarnya dari "waktu crack"

Setiap pengukur kekuatan menunjukkan perkiraan "waktu untuk crack", termasuk yang ini. Jawaban yang jujur adalah bahwa ini adalah salah satu angka yang paling mudah dilaporkan dan salah satu angka yang paling sulit dipertahankan, karena hampir sepenuhnya bergantung pada asumsi yang tidak dapat dilihat pengguna. Asumsi dasarnya adalah tebakan per detik penyerang. Angka itu bukan satu angka, melainkan rentang sekitar sepuluh orde besaran tergantung pada apa yang dicuri penyerang dan skema hashing apa yang digunakan pembela. MD5 atau SHA-1 tanpa salt: satu NVIDIA RTX 4090, kartu grafis kelas konsumen tahun 2022, dapat menghitung sekitar 150-165 miliar hash MD5 per detik menggunakan alat cracking standar hashcat. Delapan kartu seperti itu dalam satu rig mendorong angkanya melewati satu triliun per detik; instans multi-GPU yang disewa cloud di AWS atau Google Cloud berharga dari satu digit rendah hingga puluhan dolar rendah per jam. Untuk penyimpanan kata sandi yang menggunakan hashing cepat tanpa salt, kata sandi sederhana pada dasarnya tidak berdaya. bcrypt dengan faktor biaya yang masuk akal: bcrypt dirancang pada tahun 1999 khusus untuk lambat pada perangkat keras paralel. Pada faktor biaya 12 (default industri kasar), satu GPU dapat melakukan ratusan hingga ribuan rendah tebakan per detik per inti, bukan puluhan miliar. Waktu crack terhadap bcrypt jutaan kali lebih lama daripada terhadap MD5. scrypt dan argon2id: ini menambahkan kekerasan memori, setiap tebakan membutuhkan tidak hanya siklus CPU tetapi juga jumlah RAM yang substansial, yang membuat paralelisasi pada GPU dan ASIC sangat mahal secara prohibitif pada parameter yang masuk akal. Argon2id adalah rekomendasi OWASP saat ini dan pemenang Password Hashing Competition 2015.

Pengukur yang menyebutkan satu waktu crack, dalam keadaan terbaik, memberi tahu Anda jawabannya untuk skenario terburuk di mana penyerang telah mencuri basis data hash cepat. Itu juga merupakan satu-satunya default jujur yang dapat ditunjukkan oleh pengukur kekuatan generik, pengguna tidak dapat tahu sebelumnya apakah layanan berikutnya yang dibobol akan menggunakan MD5 atau argon2id. 10 miliar tebakan per detik yang diasumsikan alat ini berada dalam kisaran yang sama dengan skenario hash cepat terburuk, satu orde besaran di bawah puncak absolut rig kelas atas tetapi mewakili apa yang dapat disewa penyerang yang gigih dengan anggaran kecil.

Pelanggaran RockYou 2009 dan mengapa penggunaan ulang mematikan

RockYou, pembuat add-on Facebook dan MySpace, menyimpan sekitar 32 juta kata sandi pengguna dalam teks polos. Pada Desember 2009 seorang penyerang mengeksploitasi kerentanan SQL injection dan mengekstraksi seluruh basis data pengguna. Kata sandi teks polos diposting secara publik. Daftar kata yang dideduplikasi, rockyou.txt, dengan sekitar 14 juta kata sandi unik, kini menjadi kamus awal default untuk hampir setiap alat password cracking di dunia. Setiap kata sandi yang muncul dalam pelanggaran itu, untuk tujuan praktis, dapat di-crack secara instan selamanya, tidak peduli seberapa kuat entropi naifnya terlihat. Inilah juga sebabnya penggunaan ulang kata sandi adalah satu-satunya risiko praktis terbesar bagi sebagian besar akun pengguna. Pengguna yang menggunakan kata sandi yang sama di lima puluh situs hanya membutuhkan satu dari situs tersebut bocor; pengguna dengan kata sandi unik per layanan membutuhkan semua lima puluh bocor. Dataset referensi untuk kata sandi yang diketahui telah dibobol adalah Have I Been Pwned, diluncurkan oleh peneliti keamanan Australia Troy Hunt pada 4 Desember 2013. Subsistem Pwned Passwords mengindeks lebih dari satu miliar hash SHA-1 unik dari kata sandi yang telah disusupi, dengan sekitar 1,3 miliar kata sandi yang baru terlihat ditambahkan dalam pembaruan November 2025 saja.

k-anonimitas, memeriksa kata sandi tanpa mengungkapkannya

Bagian cerdik dari Pwned Passwords adalah desain API-nya, yang memecahkan masalah privasi serius secara historis: bagaimana Anda membiarkan pihak ketiga memeriksa apakah kata sandi ada dalam daftar yang diketahui telah dibobol tanpa mengirim mereka kata sandi Anda? Pendekatan naif, mem-POST kata sandi Anda ke layanan, menciptakan kembali masalah yang sedang dicoba dihindari oleh pengguna. Solusi k-anonimitas, dirancang oleh Junade Ali di Cloudflare pada tahun 2018, bekerja sebagai berikut: klien menghitung hash SHA-1 dari kata sandi; klien mengirim hanya lima karakter heksadesimal pertama dari hash tersebut (sebuah awalan yang mengidentifikasi salah satu dari sekitar satu juta bucket yang mungkin); server mengembalikan semua akhiran untuk hash yang dimulai dengan awalan tersebut, biasanya beberapa ratus kecocokan; klien memeriksa secara lokal apakah hash lengkapnya ada dalam daftar yang dikembalikan. Server tidak pernah belajar kata sandi mana yang sedang diperiksa pengguna; ia hanya mempelajari salah satu dari sekitar satu juta bucket awalan, yang dengan sendirinya mengidentifikasi ratusan kata sandi yang masuk akal. Ini adalah model anonimitas statistik yang sama yang digunakan untuk menganonimkan rekam medis: setiap kueri secara statistik tidak dapat dibedakan dari setidaknya k lainnya. Pengelola kata sandi browser, sistem identitas perusahaan, dan pengukur kekuatan yang serius menggunakan protokol awalan-dan-akhiran yang sama.

Gunakan pengelola kata sandi

Argumen untuk pengelola kata sandi bukanlah bahwa mereka membuat Anda kebal terhadap pelanggaran, mereka tidak, dan beberapa di antaranya sendiri telah dibobol, melainkan bahwa mereka memungkinkan Anda memiliki kata sandi unik di setiap layanan, sehingga pelanggaran berikutnya pada layanan yang Anda gunakan tidak juga membahayakan rekening bank Anda. KeePass, yang tertua di antara pengelola yang banyak digunakan, pertama kali dirilis oleh Dominik Reichl pada November 2003. 1Password, oleh AgileBits, mengirimkan versi pertamanya pada tahun 2006. Bitwarden, pengelola open source dominan dengan sinkronisasi cloud, diluncurkan pada Agustus 2016. Rekomendasi modern, hafalkan satu passphrase master yang kuat, biarkan pengelola menghasilkan yang lainnya, dibagikan di seluruh NIST, OWASP, EFF dan pada dasarnya setiap organisasi keamanan yang serius. Passphrase master tunggal menjadi satu-satunya kata sandi yang perlu Anda ingat dengan baik; pengelola menangani sisanya, menghasilkan string acak 20 karakter per layanan, mengisinya untuk Anda, dan memperingatkan Anda ketika Anda menggunakan ulang. Jika Anda mengambil satu saran dari seluruh halaman ini, ambillah yang itu.

Passphrase untuk hal-hal yang harus Anda ingat

Untuk kata sandi yang benar-benar harus Anda hafalkan, passphrase master pengelola kata sandi Anda, login komputer Anda, kunci pembuka ponsel Anda, passphrase mengalahkan kata sandi. XKCD #936 ("Password Strength"), diterbitkan 10 Agustus 2011, membuat kasus tersebut diketahui khalayak luas: correct horse battery staple adalah empat kata bahasa Inggris acak, lebih mudah diingat manusia daripada Tr0ub4dor&3 dan jauh lebih sulit ditebak oleh komputer dalam orde besaran. Matematikanya sederhana: jika Anda mengambil kata secara seragam dari daftar berukuran N, setiap kata menyumbang log₂(N) bit entropi. Sistem Diceware, ditemukan oleh Arnold Reinhold pada tahun 1995 dan awalnya didistribusikan di milis Cypherpunks, memformalkan ini dengan daftar 7.776 kata (sehingga setiap kata dipilih melalui lima lemparan dadu enam sisi). Setiap kata Diceware menyumbang sekitar 12,9 bit entropi; passphrase enam kata membawa sekitar 77 bit, yang telah direkomendasikan Reinhold sebagai dasar untuk penggunaan sehari-hari. Electronic Frontier Foundation merilis daftar kata panjangnya yang ditingkatkan pada Juli 2016, dengan kata-kata yang dipilih untuk daya ingat dan panjangnya (rata-rata tujuh karakter dibandingkan ~4,3 Diceware). Keamanan daftar EFF dan daftar Diceware asli identik pada jumlah kata yang sama; daftar EFF hanya lebih mudah dijalani. Peringatan penting adalah bahwa kata-katanya harus benar-benar acak, dipilih oleh dadu atau RNG nyata. Passphrase yang diambil dari lirik lagu, kutipan film, atau ayat Alkitab yang terkenal ada di daftar kata setiap penyerang kamus dan tidak lebih kuat daripada satu kata kamus.

Passkey: pengganti jangka panjang

Arah perjalanan jangka panjang adalah bahwa akun bernilai tinggi sepenuhnya meninggalkan dunia kata sandi. Pada 5 Mei 2022, Apple, Google, dan Microsoft bersama-sama mengumumkan dukungan yang diperluas untuk standar FIDO dan alur masuk tanpa kata sandi berbasis passkey yang disinkronkan di seluruh perangkat dan platform. Passkey adalah kredensial kunci publik yang disimpan di perangkat pengguna; kunci pribadi tidak pernah meninggalkan perangkat, kunci publik terdaftar di relying party, dan autentikasi adalah tantangan-respons kriptografis yang kebal terhadap phishing dengan cara yang secara kategoris tidak dimiliki kata sandi. FIDO Alliance melaporkan pada awal 2025 bahwa lebih dari lima belas miliar akun online sudah dapat menggunakan passkey, dan bahwa adopsi telah berlipat ganda dalam tahun 2024 saja. Google melaporkan pada akhir 2024 bahwa lebih dari 800 juta akun Google memiliki setidaknya satu passkey yang dikonfigurasi, dengan tingkat keberhasilan masuk meningkat sekitar 30% dan kecepatan masuk meningkat sekitar 20% rata-rata. Platform utama, Amazon, Apple iCloud Keychain, Google Password Manager, Microsoft Authenticator, semuanya mendukung passkey yang disinkronkan hari ini. Passkey belum menjadi pengganti yang lengkap (banyak situs yang lebih kecil tidak mendukungnya, dan cerita pemulihan masih bervariasi menurut platform), tetapi untuk setiap akun yang mendukungnya, semakin banyak termasuk email, media sosial, perbankan, dan platform SaaS utama, passkey adalah jawaban yang tepat dan kata sandi yang kuat adalah pilihan kedua yang masuk akal.

Privasi: mengapa pemeriksa khusus browser penting

Setiap alat "uji kata sandi Anda" yang mengirim kata sandi ke server, secara konstruksi, adalah risiko. Itu termasuk sebagian besar pengukur kata sandi historis yang menjalankan analisisnya di sisi server. Pola yang tepat untuk alat modern, pola yang diikuti halaman ini, adalah bahwa kata sandi tidak pernah meninggalkan browser Anda. Estimator kekuatan berjalan secara lokal; angka entropi dihitung secara lokal; saran dihasilkan secara lokal. Tidak ada yang dicatat, tidak ada yang disimpan, tidak ada yang melintasi jaringan. Itulah argumen privasi yang layak dikemukakan secara jelas. Itu adalah satu-satunya argumen untuk alat kata sandi yang benar-benar membedakan implementasi yang dapat dipercaya dari yang ceroboh. Pengguna yang tidak mengontrol kode sumber pengukur kekuatan tidak dapat yakin bahwa kata sandinya tidak dicatat, tetapi mereka setidaknya dapat melihat aktivitas jaringan di alat pengembang browser mereka, dan alat yang tidak membuat permintaan jaringan saat pengguna mengetik dapat diverifikasi dalam hitungan detik. Itu membuat "berjalan sepenuhnya di browser Anda" bukan hanya klaim pemasaran tetapi klaim yang dapat dipalsukan, yang merupakan jenis klaim yang jauh lebih baik. Bahkan dengan jaminan itu, praktik teraman tetap menguji kata sandi yang serupa secara struktural daripada yang sebenarnya, panjang yang sama, campuran karakter yang sama, pola yang sama, untuk kata sandi apa pun yang Anda gunakan hari ini.

Tujuh poin kunci

1. Panjang mendominasi. Dua belas karakter adalah minimum praktis; enam belas atau lebih adalah lantai yang tepat untuk akun penting. Setiap karakter tambahan kira-kira menggandakan permukaan serangan brute force.
2. Aturan komposisi adalah teater. Passphrase panjang mengalahkan string pendek campuran huruf-besar-kecil-plus-digit-plus-simbol pada setiap ukuran yang jujur.
3. Penggunaan ulang adalah permukaan serangan dominan. Satu kata sandi yang bocor menjadi kunci untuk setiap layanan yang berbagi kata sandi tersebut.
4. Pengelola kata sandi adalah jawaban untuk kebanyakan orang. Hafalkan satu passphrase yang kuat, biarkan pengelola menangani sisanya.
5. Passkey, di mana didukung, lebih baik daripada kata sandi apa pun. Mereka tahan phishing sejak rancangannya dan disinkronkan di seluruh perangkat pengguna.
6. Pengukur kekuatan adalah estimator, bukan jaminan. Itu mengasumsikan model serangan tertentu; penyerang nyata mungkin melakukan lebih baik terhadap kata sandi yang sarat pola daripada yang disarankan oleh angka pengukur.
7. Percayai klaim privasi pengukur hanya jika Anda dapat memverifikasinya. Pengukur yang berjalan sepenuhnya di browser dapat diverifikasi oleh pengguna mana pun dengan alat pengembang terbuka. Pengukur yang mengirim ke server tidak bisa.

Pertanyaan yang Sering Diajukan

Apakah kata sandi saya dikirim ke server?

Tidak. Semua analisis terjadi di browser Anda. Kata sandi Anda tidak pernah meninggalkan perangkat Anda.

Berapa banyak karakter yang harus dimiliki kata sandi saya?

Setidaknya 12 karakter untuk sebagian besar akun, 16+ untuk yang penting (perbankan, email, pengelola kata sandi). Lebih panjang selalu lebih baik.

Apakah frasa sandi lebih baik daripada kata sandi acak?

Frasa sandi (seperti "correct-horse-battery-staple") bisa sangat kuat jika cukup panjang (4+ kata acak). Frasa sandi lebih mudah diingat tetapi harus benar-benar acak · bukan lirik lagu atau kutipan.

Mengapa alat ini menunjukkan skor yang berbeda dari pengukur lain?

Karena pengukur berbeda menggunakan model berbeda. Pengukur kelas karakter naif melihat P@$$w0rd99 memiliki keempat kelas dan menilainya tinggi; pengukur pengenal pola (dimodelkan pada pustaka open source zxcvbn dari Dropbox) mengenali kata kamus, substitusi leet-speak, dan pola digit di belakang, dan menilainya dapat dipecahkan dalam hitungan detik. Alat ini melaporkan keduanya, entropi naif dari panjang dan set karakter, plus skor pengenal pola yang menurunkan nilai struktur yang dapat dikenali. Keduanya akan berbeda ketika kata sandi Anda mengandung pola yang dapat diprediksi, yang justru saat peringatan paling berguna.

Apakah saya harus percaya perkiraan waktu crack?

Sebagai perkiraan kasar kasus terburuk, ya. 10 miliar tebakan per detik yang diasumsikan alat ini berada pada orde besaran yang sama dengan penyerang gigih yang menggunakan satu GPU baru-baru ini untuk men-crack hash MD5 atau SHA-1 tanpa salt (RTX 4090 dapat melakukan 150-165 miliar MD5/detik; rig kecil mendorong angka itu ke triliunan). Untuk layanan yang menggunakan hashing modern yang tepat (bcrypt pada faktor biaya 12, scrypt, argon2id), serangan sebenarnya akan jutaan kali lebih lambat, tetapi Anda tidak memiliki cara untuk mengetahui sebelumnya skema hashing apa yang digunakan layanan yang dibobol berikutnya, jadi merencanakan untuk kasus terburuk adalah bijaksana.

Bagaimana dengan memeriksa apakah kata sandi saya pernah dalam pelanggaran?

Untuk itu, gunakan layanan Pwned Passwords dari Have I Been Pwned (haveibeenpwned.com/Passwords). Ia menggunakan model k-anonimitas yang dirancang oleh Junade Ali di Cloudflare pada tahun 2018: browser Anda menghitung SHA-1 dari kata sandi Anda, mengirim hanya lima karakter heksadesimal pertama, dan server mengembalikan semua akhiran yang cocok; kata sandi lengkap dan hash lengkap Anda tidak pernah melintasi jaringan. Korpus berisi lebih dari satu miliar hash SHA-1 yang diketahui telah dibobol. Pengelola kata sandi browser (Watchtower 1Password, laporan pelanggaran data Bitwarden, Password Checkup Chrome) mengintegrasikan API yang sama secara otomatis.

Alat Terkait