Password Generator – Create Strong Random Passwords
Generate strong, random passwords of any length. Customize with uppercase, lowercase, numbers, and special characters. Free calculator, instant results.
<bahagian class=“kandungan-bahagian”>
Entropi Kata Laluan: Sains Kata Laluan Kuat
Kekuatan kata laluan diukur dalam bit entropi — logaritma (asas 2) bilangan kemungkinan kata laluan. Entropi yang lebih tinggi bermaksud kata laluan yang lebih sukar untuk dipecah. Memahami entropi adalah kunci untuk mencipta kata laluan yang tahan terhadap serangan paksa dan kaedah patah-patah kata.
Formula: Entropi = log₂(C^L) = L × log₂(C), di mana C = saiz set karakter dan L = panjang kata laluan.
| Jenis Kata Laluan | Saiz Set Karakter | Panjang | Entropi (bit) | Masa Serangan Paksa* |
|---|---|---|---|---|
| Kata laluan hanya huruf kecil (a–z) | 26 | 8 | 37.6 | Minit hingga jam |
| Kata laluan campuran (a–z, A–Z) | 52 | 8 | 45.6 | Jam hingga hari |
| Kata laluan campuran + nombor | 62 | 10 | 59.5 | Hari hingga bulan |
| Semua aksara ASCII cetak | 94 | 12 | 78.7 | Ribuan tahun |
| Semua aksara ASCII cetak | 94 | 16 | 104.8 | Berkesan tidak terhingga |
| Semua aksara ASCII cetak | 94 | 20 | 131.0 | Lebih daripada kematian haba alam semesta |
| Passphrase 4-kata (7,776 senarai) | 7,776 | 4 kata | 51.7 | Sebanding dengan kompleks 8-karakter |
| Passphrase 6-kata (7,776 senarai) | 7,776 | 6 kata | 77.5 | Sebanding dengan 12-karakter campuran |
*Menganggap 100 bilion cubaan setiap saat dengan peralatan GPU moden. Ahli keselamatan mengesyorkan sekurang-kurangnya 80 bit entropi untuk akaun-akaun biasa dan 128+ bit untuk akaun-akaun kritikal seperti kata laluan master emel, perbankan, dan kunci enkripsi.
<bahagian class=“kandungan-bahagian”>
Set Karakter dan Bagaimana Mereka Menambahkan Kekuatan
Termasuk setiap kelas karakter yang lebih tinggi akan memperbesar ruang carian yang perlu ditinjau oleh serang. Berikut adalah bagaimana set karakter menyumbang kekuatan entropi kata laluan:
| Set Karakter | Karakter | Count | Bit per Karakter |
|---|---|---|---|
| Huruf kecil | a–z | 26 | 4.70 |
| Huruf besar | A–Z | 26 | 4.70 |
| Nombor | 0–9 | 10 | 3.32 |
| Simbol biasa | !@#$%^&*()-_+= | 14 | 3.81 |
| Simbol yang diperluas | []{}|;:’,".<>?/`~ | 18 | 4.17 |
| Semua aksara cetak ASCII yang dikombinasikan | Set di atas | 94 | 6.55 |
Peningkatan yang paling berkesan kepada mana-mana kata laluan adalah menambah panjang. Meningkatkan dari 12 ke 16 aksara dengan set ASCII penuh menambah 4 × 6.55 = 26.2 bit entropi tambahan — setara dengan memperbesar ruang carian kira-kira 80 juta. Panjang selalu lebih penting daripada kompleksiti apabila kedua-duanya tidak dapat ditingkatkan secara serentak.
Bagaimanapun, menggunakan semua jenis karakter bersama (huruf besar, kecil, nombor, dan simbol) pada panjang tertentu akan memaksimumkan entropi per karakter. Kata laluan 12 aksara yang hanya menggunakan huruf kecil mempunyai 56.4 bit entropi; panjang yang sama dengan setiap jenis karakter mempunyai 78.7 bit — peningkatan 40% tanpa menambahkan satu aksara.
<bahagian class=“kandungan-bahagian”>
Amalan Terbaik Kata Laluan
Panduan semasa dari NIST (Buku Khas 800-63B), penyelidik keselamatan, dan piawaian industri telah berubah secara signifikan dari cadangan lama. Berikut adalah amalan terbaik terkini:
- Panjang daripada kompleksiti: Kata laluan 20 aksara yang berasingan adalah lebih kuat dan lebih mudah diingati daripada kata laluan 12 aksara yang kaya dengan simbol. NIST mengesyorkan sekurang-kurangnya 8 aksara minimum, tetapi profesional keselamatan mengesyorkan 12–16 aksara untuk akaun-akaun biasa dan 20+ untuk akaun-akaun kritikal.
- Kata laluan unik setiap laman: Sekitar 85% serangan bencana melibatkan penggantian kredit — serang cuba uji kombinasi nama pengguna/kata laluan yang dicuri dari satu bencana terhadap perkhidmatan lain. Setiap akaun memerlukan kata laluan unik.
- Gunakan pengurus kata laluan: Alat seperti Bitwarden (bebas, terbuka sumber), 1Password, KeePass, atau Dashlane menghasilkan dan menyimpan kata laluan unik dengan selamat. Anda hanya perlu ingat satu kata laluan utama. Pengurus kata laluan adalah peningkatan yang paling berkesan kepada keselamatan peribadi.
- Aktifkan pengesahan dua faktor (2FA): Walaupun kata laluan yang dicuri menjadi lebih sukar untuk dimanfaatkan dengan 2FA. Gunakan aplikasi pengesahan (Google Authenticator, Authy, atau kunci fizikal seperti YubiKey). Elakkan 2FA melalui SMS apabila mungkin, kerana ia rentan terhadap serangan menukar SIM.
- Periksa pangkalan data bencana: Gunakan haveibeenpwned.com untuk periksa jika emel atau kata laluan anda muncul dalam pangkalan data bencana yang diketahui. Jika kata laluan muncul dalam pangkalan data bencana, ubahnya segera, walaupun ia kelihatan kuat.
- Jangan putar kata laluan pada jadual: Panduan yang diperbaharui NIST secara eksplisit mengesyorkan menentang perubahan kata laluan secara berkala. Pemulihan berkala akan menghasilkan modifikasi yang diprediksi (“Password1” → “Password2”). Perubahan kata laluan hanya apabila terdapat bukti kompromi.
Kelemahan Kata Laluan Biasa dan Cara Mencegahnya
Penyerang menggunakan serangan kamus (menguji kata-kata biasa, nama, dan pola) sebelum beralih ke serangan paksa. Alat penghancur kata laluan moden menggunakan set peraturan yang canggih yang memprediksi perilaku manusia biasa. Hindari kelemahan-kelemahan biasa ini:
| Kelemahan | Contoh | Kenapa Ia Lemah | Alternatif Lebih Baik |
|---|---|---|---|
| Kata-kata biasa | password, admin, welcome | Dalam set kamus setiap penyerang | Karakter-karakter acak atau frasa kata |
| Info peribadi | john1985, fluffy123 | Dapat ditemui dengan mudah di media sosial | Tidak ada data peribadi dalam kata laluan |
| Pola papan kekunci | qwerty, 123456, asdfgh | Antara pola pertama yang diuji | Pemilihan karakter yang benar-benar acak |
| Substitusi yang dapat ditebak | p@ssw0rd, h3llo | Peraturan leet-speak standard dalam semua penyerang | Penghasilan penuh acak |
| Kata laluan yang pendek | Mana-mana di bawah 8 karakter | Boleh dipecah dalam beberapa saat hingga minit | Minimum 12 karakter |
| Menggunakan kata laluan yang sama | Kata laluan yang sama pada email dan bank | Satu serangan membahayakan semua akaun | Kata laluan unik untuk setiap perkhidmatan |
| Modifikasi sedikit | Summer2024 → Summer2025 | Penyerang menguji variasi berurutan | Kata laluan baru yang benar-benar acak |
| Menggunakan nombor di akhir | password123 | Menggunakan nombor di akhir adalah peraturan standard | Nombor dicampurkan di seluruhnya |
Kata laluan yang paling sering dipecah di seluruh dunia (analisis pangkalan data serangan) adalah: 123456, password, 123456789, qwerty, 12345678, 111111, 1234567890, 1234567, password1, dan qwerty123. Jika kata laluan anda menyerupai mana-mana pola ini, ubahlah segera.
Frasa Kata Laluan: Alternatif yang Ingat
Frasa kata laluan adalah satu siri perkata yang dipilih secara acak digunakan sebagai kata laluan. Frasa kata laluan biasanya lebih panjang daripada kata laluan tradisional, menjadikannya lebih sukar untuk dipecah, manakala lebih mudah untuk diingati. Konsep ini popularisasi oleh komik XKCD "kuda betul bateri staples."
| Jenis Frasa Kata Laluan | Contoh | Entropi (bit) | Ingatan |
|---|---|---|---|
| 3 perkata acak (7,776 senarai) | blanket-topaz-furnace | 38.8 | Senang diingati |
| 4 perkata acak (7,776 senarai) | correct-horse-battery-staple | 51.7 | Seimbang |
| 5 perkata acak (7,776 senarai) | blanket-topaz-furnace-mango-cliff | 64.6 | Usaha sederhana |
| 6 perkata acak (7,776 senarai) | six-word-phrase-requires-more-effort | 77.5 | Lebih sukar tetapi boleh diatasi |
| 4 perkata + nombor + simbol | correct-Horse-battery7-staple! | ~65+ | Seimbang dengan variasi |
Keperluan kritikal untuk keamanan frasa kata laluan adalah perkata-perkata harus dipilih secara acak — bukan frasa yang bermakna, kutipan, lirik lagu, atau kalimat yang anda akan berkata secara semulajadi. "Saya cinta anjing saya sangat" adalah frasa kata laluan yang teruk kerana ia dapat diprediksi. "Blanket-topaz-furnace-mango" adalah sangat baik kerana kombinasi perkata yang acak dan tidak dijangka.
Untuk menghasilkan frasa kata laluan, gunakan kaedah Diceware: gulungkan lima dadu untuk mendapatkan nombor lima digit, kemudian cari perkata yang berkaitan dalam senarai perkata Diceware (yang mengandungi 7,776 perkata). Ulangi untuk setiap perkata. Atau, gunakan penghasil frasa kata laluan dalam pengurus kata laluan anda, yang mengautomatkan proses ini dengan selamat.
Pengurus Kata Laluan: Pusat Keamanan Anda
Pengurus kata laluan adalah perisian yang menghasil, menyimpan, dan mengisi automatik kata laluan unik untuk setiap akaun anda. Ia adalah alat keamanan yang paling digalakkan oleh setiap organisasi keamanan siber utama. Berikut adalah perbandingan pilihan yang paling popular:
| Pengurus Kata Laluan | Harga | Terbuka Sumber | Platform | Ciri Utama |
|---|---|---|---|---|
| Bitwarden | Gratis (premium $10/tahun) | Ya | Platform semua + pelayar | Option yang terbaik secara percuma; boleh dihoskan sendiri |
| 1Password | $36/tahun | Tidak | Platform semua + pelayar | Monitoring serangan bencana |
| KeePass / KeePassXC | Gratis | Ya | Desktop (bersifat lintas platform) | Simpanan tempatan sahaja; tiada sinkronisasi awan |
| Dashlane | $60/tahun | Tidak | Platform semua + pelayar | VPN binaan; monitoring awan gelap |
| Apple Keychain | Gratis | Tidak | Ecosystem Apple sahaja | Seamless pada iPhone, iPad, Mac |
| Google Password Manager | Gratis | Tidak | Chrome + Android | Terintegrasi dengan pelayar Chrome |
Apabila memilih pengurus kata laluan, prioriti: enkripsi zero-knowledge (syarikat tidak boleh membaca kata laluan anda), kehadiran lintas platform, penghasilan kata laluan yang selamat, dan monitoring serangan bencana. Kata laluan utama — satu-satunya kata laluan yang anda perlu ingati — haruslah frasa kata laluan yang kuat dengan 5+ perkata acak dengan sekurang-kurangnya 70 bit entropi.
Mengubah kepada pengurus kata laluan tidak perlu dilakukan secara serentak. Mulakan dengan menambah akaun-akaun kritikal (email, bank, media sosial) dan secara beransur-ansur menambahkan yang lain apabila anda log masuk ke dalamnya. Banyak pengurus kata laluan boleh mengimport kata laluan dari pelayar untuk mempercepatkan migrasi.
Metode Pengesahan Dua Faktor (2FA) dibandingkan
Walaupun kata laluan yang kuat hanya memberikan satu lapisan perlindungan sahaja. Pengesahan dua faktor menambahkan lapisan kedua yang memerlukan sesuatu yang anda ada (telefon atau kunci fizikal) di samping sesuatu yang anda ketahui (kata laluan anda).
| Metode 2FA | Peringkat Keselamatan | Kemudahan | Kelemahan |
|---|---|---|---|
| Kunci keselamatan fizikal (YubiKey, Titan) | Tinggi | Menengah — memerlukan kunci fizikal | Imun terhadap phishing |
| Applikasi pengesahan (TOTP) | Tinggi | Tinggi — kod di telefon anda | Terjejas jika telefon anda diserang |
| Pemberitahuan notifikasi (Duo, MS Authenticator) | Tinggi | Very tinggi — sentuh untuk mengesahkan | "Fatigue MFA" (prompt yang berulang) |
| Pesan teks SMS | Menengah | Very tinggi — tiada applikasi diperlukan | Swapping SIM, intersepsi SS7 |
| Kod mel | Menengah-Tinggi | Tinggi | Compromise akaun mel |
| Soalan-soalan keselamatan | Menengah | Tinggi | Jawapan sering tersedia secara awam |
Untuk keselamatan maksimum, gunakan kunci keselamatan fizikal (FIDO2/WebAuthn) untuk akaun kritikal anda. Untuk akaun harian, applikasi pengesahan seperti Google Authenticator, Authy, atau Microsoft Authenticator memberikan keseimbangan yang baik antara keselamatan dan kemudahan. Mana-mana bentuk 2FA jauh lebih baik daripada pengesahan kata laluan sahaja.
Bagaimana Cracking Kata Laluan Berfungsi
Memahami bagaimana penyerang menghancurkan kata laluan membantu menjelaskan mengapa kata laluan yang acak panjang sangat penting. Cracking kata laluan moden melibatkan beberapa teknik, setiap satu mengambil kelemahan yang berbeza dalam pilihan kata laluan.
| Jenis Serangan | Bagaimana Ia Berfungsi | Kecepatan | Apakah Ia Menentang |
|---|---|---|---|
| Brute force | Mencuba setiap kombinasi yang mungkin secara sistematik | Billions per second (GPU) | Kata laluan yang pendek mana-mana jenis |
| Dictionary attack | Mencuba perkata-perkata yang biasa, nama, dan frasa | Millions per second | Kata laluan berdasarkan perkata-perkata yang sebenar |
| Rule-based attack | Menjalankan transformasi ke atas perkata-perkata kamus (huruf besar, tambah nombor, leet-speak) | Millions per second | Pengubahsuaian yang dapat diprediksi seperti "P@ssw0rd" |
| Credential stuffing | Mencuba pasangan nama pengguna/kata laluan yang dicuri dari bocoran di laman lain | Thousands per second | Kata laluan yang digunakan semula di perkhidmatan |
| Rainbow table | Menggunakan jadual carian hash-to-password yang telah diprekomput | Near-instant lookup | Hash kata laluan yang tidak disalut |
| Phishing | Menipu pengguna untuk memasukkan kata laluan di laman palsu | N/A (sosial engineering) | Kata laluan mana-mana tanpa 2FA |
GPU kumpulan moden yang berjalan dengan alat seperti Hashcat boleh mencuba lebih daripada 100 bilion hash MD5 per saat, atau kira-kira 10 bilion hash bcrypt per saat dengan peralatan khas. Ini adalah mengapa panjang kata laluan sangat penting — setiap karakter tambahan mempercepatkan masa yang diperlukan oleh saiz set kunci. Kata laluan yang dihasilkan secara acak 16-karakter menggunakan semua kunci ASCII cetak yang boleh dicapai lebih lama daripada umur alam semesta untuk dipecahkan secara paksa, walaupun dengan peralatan yang paling pantas yang tersedia hari ini. Walau bagaimanapun, tiada kata laluan mana-mana melindungi terhadap phishing — yang mana mengapa pengesahan dua faktor tetap penting sebagai lapisan perlindungan tambahan.
Berapa Lama Sebuah Kata Laluan Perlu?
Bagaimana panjang kata laluan yang selamat?
Minimum, 12–16 karakter untuk akaun standard. Untuk akaun kewangan dan kritikal (emel, bank, pengurus kata laluan), gunakan 20+ karakter atau frasa kata. Panjang lebih penting daripada kompleksiti — kata laluan 20 karakter huruf kecil mempunyai lebih banyak entropi daripada kata laluan 10 karakter dengan simbol.
Adakah kata laluan yang dipilih secara rawak selamat untuk disimpan?
Kata laluan yang dihasilkan harus disimpan dalam pengurus kata laluan yang dipercayai (Bitwarden, 1Password, KeePass), bukan dalam fail teks, penyimpanan browser sahaja, atau catatan kertas. Pengurus kata laluan mengenkripsi vault anda dengan kata laluan utama anda — walaupun perkhidmatan itu diserang, kata laluan individu anda tetap enkripsi dan selamat.
Apakah yang menjadikan kata laluan mudah untuk komputer untuk pecah?
Panjang yang pendek, perkata biasa atau pola, maklumat peribadi, dan penggunaan semula di laman web. GPU moden boleh ujian bilion kata laluan setiap saat. Kata laluan 8 karakter semua huruf kecil hanya mempunyai 208 bilion kombinasi — boleh pecah dalam jam-jam. Kata laluan 16 karakter rawak menggunakan semua jenis huruf mempunyai kira-kira 10^31 kombinasi — tidak mungkin untuk beberapa dekad walaupun dengan peralatan khas.
Adakah selamat untuk menggunakan frasa kata laluan bukannya kata laluan kompleks?
Ya — frasa kata laluan yang terdiri daripada 4 atau lebih perkata yang dipilih secara rawak (seperti "correct-horse-battery-staple") sangat selamat dan lebih mudah diingati. Fasa kata laluan 4 perkata dari senarai Diceware 7,776 perkata mempunyai 51.7 bit entropi; frasa kata laluan 6 perkata mempunyai 77.5 bit. Syarat utama ialah perkata-perkata harus dipilih secara rawak, bukan frasa bermakna yang anda akan cakap secara semulajadi.
Patutkah saya menukar kata laluan saya secara kerap?
Panduan NIST terkini (SP 800-63B) mengatakan penggantian kata laluan secara kerap tidak berfaedah — ia menyebabkan modifikasi yang dapat ditebak ("Password1" → "Password2") dan keamanan yang lebih lemah secara keseluruhan. Menukar kata laluan hanya apabila terdapat bukti kompromi, seperti notifikasi pelanggaran data. Kata laluan yang kuat dan unik yang tidak pernah diserang tidak perlu dipindahkan.
Apakah dua faktor pengesahan (2FA) dan patutkah saya gunakan?
Pengesahan dua faktor memerlukan bentuk pengesahan kedua selepas kata laluan — biasanya kod dari aplikasi pengesahan atau kunci keselamatan fizikal. Ya, anda patut membolehkan 2FA pada setiap akaun yang menyokongnya. Walaupun kata laluan anda diserang, penyerang tidak dapat mengakses akaun anda tanpa faktor kedua. Aplikasi pengesahan lebih dipilih berbanding kod SMS.
Bagaimana pengurus kata laluan berfungsi?
Pengurus kata laluan menghasilkan dan menyimpan kata laluan unik untuk setiap akaun anda dalam vault yang dienkripsi. Anda membuka vault dengan satu kata laluan utama. Pengurus kata laluan mengisi automatik borang log masuk supaya anda tidak perlu ingat atau mengetik kata laluan individu. Banyak menggunakan enkripsi tanpa pengetahuan, bermakna bahawa penyedia perkhidmatan tidak dapat membaca kata laluan yang disimpan.
Apakah yang berlaku jika pengurus kata laluan saya diserang?
Pengurus kata laluan yang dipercayai menggunakan enkripsi tanpa pengetahuan — kata laluan anda dienkripsi secara tempatan dengan kata laluan utama anda sebelum disimpan di pelayan mereka. Walaupun pelayan diserang, penyerang hanya mendapat data yang dienkripsi yang tidak dapat dibaca tanpa kata laluan utama anda. Ini ialah mengapa kata laluan utama yang kuat dan unik (secara idealnya frasa kata laluan 5+ perkata) sangat penting. Pecahan LastPass pada tahun 2022 menunjukkan ini: walaupun vault yang dienkripsi diserang, vault yang dienkripsi dengan betul dengan kata laluan utama yang kuat tetap selamat.
Adakah selamat untuk membiarkan browser menyimpan kata laluan?
Kata laluan yang disimpan oleh browser adalah mudah tetapi kurang selamat daripada pengurus kata laluan yang dedikasi. Browser menyimpan kata laluan dengan enkripsi yang berkaitan dengan akaun OS, bermakna sesi komputer mana-mana yang mempunyai akses boleh melihatnya. Pengurus kata laluan dedikasi menawarkan enkripsi yang lebih kuat, sokongan antara browser, penggunaan yang selamat, pemantauan pelanggaran, dan ciri-ciri automatik. Untuk keamanan maksimum, gunakan pengurus kata laluan dedikasi dan matikan penyimpanan kata laluan browser.
Bagaimana saya boleh mencipta kata laluan utama yang kuat yang saya ingati?
Gunakan kaedah Diceware: gulung lima dadu untuk mendapatkan nombor lima digit, cari perkata yang berkaitan dalam senarai perkata Diceware, dan ulangi untuk 5–6 perkata. Hubungkannya dengan tanda-tanda atau ruang. Contoh: "blanket-topaz-furnace-mango-cliff" mempunyai kira-kira 64 bit entropi dan relatif mudah diingati melalui visualisasi. Amalkan mengetiknya beberapa kali selama beberapa hari sehingga menjadi automatik.