Apakah aman menyimpan semua kata sandi saya di satu tempat?

Ya, jika tempat itu adalah pengelola kata sandi yang dirancang dengan baik dengan kata sandi utama yang kuat dan 2FA diaktifkan. Risiko pelanggaran manajer jauh lebih kecil dibandingkan risiko penggunaan kembali kata sandi, yang merupakan hal yang dieksploitasi oleh hampir setiap serangan pengisian kredensial. Perhitungannya sangat mendukung penggunaan manajer.

Apa pengelola kata sandi yang paling aman?

Di antara pengelola cloud, 1Password, Bitwarden, dan Proton Pass semuanya memiliki reputasi yang kuat. Khusus untuk lokal, KeePassXC adalah standar sumber terbuka. Pengelola browser bawaan dari Apple, Google, dan Mozilla juga merupakan pilihan yang masuk akal — kurang kaya fitur namun dirancang dengan baik.

Bagaimana jika saya lupa kata sandi utama saya?

Tanpa opsi pemulihan, Anda kehilangan akses ke setiap entri. Manajer yang memiliki reputasi baik menawarkan pengunduhan peralatan darurat, pemulihan sosial, atau pemulihan biometrik/berbasis perangkat. Konfigurasikan setidaknya satu sebelum Anda benar-benar membutuhkannya. Tanpa pemulihan, arsitektur tanpa pengetahuan berarti penyedia layanan pun tidak dapat membantu Anda.

Haruskah saya memercayai pengelola kata sandi bawaan browser?

Itu lebih baik daripada digunakan kembali. Batasan utamanya: Anda terkunci pada satu browser, integrasi dengan aplikasi non-browser buruk, fitur audit lebih lemah, dan sinkronisasi lintas platform bergantung pada akun vendor browser. Bagi sebagian besar pengguna biasa, pengelola browser dapat diterima; bagi siapa pun yang memiliki model ancaman serius atau banyak akun, manajer khusus lebih baik.

Bisakah VPN menggantikan pengelola kata sandi?

Tidak — mereka memecahkan masalah yang berbeda. VPN menyembunyikan identitas jaringan Anda dari situs; pengelola kata sandi melindungi identitas akun Anda di situs. Gunakan keduanya. Beberapa penyedia VPN menggabungkan pengelola kata sandi (NordPass dengan NordVPN, Proton Pass dengan Proton VPN); bundlingnya nyaman tetapi batasan privasi antar produk tetap independen.

Penjelasan Pengelola Kata Sandi: Cara Kerjanya, Mengapa Kata Sandi Utama Penting, dan Model Mana yang Cocok untuk Anda

Pengelola kata sandi menggantikan tugas mustahil mengingat 200 kata sandi unik yang kuat dengan tugas yang dapat dicapai yaitu mengingat satu kata sandi. Keputusannya bukan apakah akan menggunakannya — sudah diputuskan — tetapi arsitektur mana yang sesuai dengan model ancaman Anda: tersinkronisasi cloud, khusus lokal, atau bawaan browser.

Badan artikel selengkapnya disediakan dalam bahasa Inggris di bawah ini.

A password manager adalah penyimpanan terenkripsi untuk kredensial, diakses dengan kata sandi utama (dan idealnya faktor kedua). Manajer membuat kata sandi acak yang kuat sesuai permintaan, mengisinya ke dalam formulir login secara otomatis, dan menyinkronkannya di seluruh perangkat Anda. Seluruh tumpukan bertumpu pada satu asumsi: kata sandi utama dan kunci turunannya tetap rahasia.

Arsitektur

Setiap pengelola kata sandi modern menggunakan pola kripto yang sama:

Kata sandi utama dijalankan melalui fungsi derivasi kunci lambat (PBKDF2, Argon2, atau scrypt) yang menghasilkan kunci master. Sengaja lambat — jutaan iterasi — untuk membuat tebakan brute force menjadi mahal.
Kunci master mengenkripsi kunci enkripsi per brankas.
Kunci enkripsi membungkus entri individual dengan AES-256-GCM atau enkripsi terotentikasi serupa.
Teks sandi brankas disimpan secara lokal dan (untuk pengelola cloud) disinkronkan ke server.

Server tidak pernah melihat kata sandi utama atau brankas yang terbuka. Ini disebut "zero-knowledge" — penyedia tidak dapat mendekripsi data Anda meskipun mereka ingin atau terpaksa melakukannya.

Cloud vs lokal vs browser

Tiga arsitektur:

Cloud-synced (1Password, Bitwarden, Dashlane, LastPass) — sinkronisasi brankas melalui server penyedia. Anda mendapatkan akses lintas perangkat, brankas bersama untuk keluarga/tim, dan opsi pemulihan. Anda juga mempercayai infrastruktur dan kode penyedia.
Lokal saja (KeePassXC, KeePass, Strongbox) — vault adalah file di perangkat Anda. Anda menyinkronkannya secara manual melalui Dropbox, Syncthing, atau stik USB. Kontrol maksimum, lebih banyak gesekan.
Browser bawaan (Chrome, Firefox, Safari, Edge) — kata sandi disimpan di browser, disinkronkan ke cloud vendor (Google/Mozilla/Apple/Microsoft). Nyaman. Kurang kaya fitur; terikat pada satu browser.

Pelajaran LastPass

LastPass — yang pernah menjadi pengelola kata sandi cloud yang dominan — mengalami pelanggaran serius yang terungkap pada tahun 2022. Penyerang mengambil alih brankas terenkripsi bersama dengan metadata seperti URL yang dicakup setiap entri. Vault terenkripsi tetap terenkripsi, namun kebocoran metadata membantu penyerang memprioritaskan brankas mana yang akan diserang secara offline, dan kata sandi utama yang lemah dapat ditebak. Episode ini menetapkan tiga prinsip untuk industri lainnya:

Kata sandi utama acak yang panjang tidak dapat dinegosiasikan.
Kunci enkripsi brankas harus menggunakan KDF yang kuat dengan jumlah iterasi yang tinggi.
Bahkan pelanggaran brankas terenkripsi pun penting; paparan metadata benar-benar merugikan.

Apa yang membuat kata sandi utama kuat

Panjangnya mengalahkan kompleksitas. Frasa sandi acak 5 kata (gaya Diceware — "spons stapel baterai kuda yang benar") memiliki lebih banyak entropi daripada "P@ssw0rd1!" dan jauh lebih mudah untuk mengetik. Targetkan setidaknya 70 bit entropi, yang kira-kira setara dengan empat hingga enam kata acak dari daftar 7.000 kata, atau 16 karakter acak. Satu-satunya investasi keamanan paling berguna yang dapat dilakukan pengguna adalah mengganti kata sandi utama yang lemah dengan kata sandi yang kuat.

Faktor kedua pada pengelola itu sendiri

Setiap pengelola kata sandi modern mendukung penambahan faktor autentikasi kedua untuk membuka kunci. Gunakan itu. Opsi yang paling aman:

Token perangkat keras (YubiKey, Solo, Titan) — tahan phishing. Aplikasi pengautentikasi
TOTP (Aegis, Raivo, milik 1Password).
Pemberitahuan push melalui aplikasi pengautentikasi — nyaman namun lebih sulit untuk audit.

SMS berbasis 2FA pada pengelola kata sandi dapat diterima tetapi merupakan opsi terlemah karena serangan pertukaran SIM.

Transisi kunci sandi

Passkeys (kredensial FIDO2 yang dikelola oleh OS atau pengelola kata sandi) secara bertahap menggantikan kata sandi untuk banyak situs dengan lalu lintas tinggi. Pengelola kata sandi modern menyimpan dan menyinkronkan kunci sandi bersama kata sandi. Masa depan jangka menengah: kata sandi untuk situs lama, kunci sandi untuk situs baru, keduanya dikelola di brankas yang sama. Kata sandi utama tidak akan hilang; itu tetap menjadi akar kepercayaan.

Mode kegagalan umum

Tiga cara pengguna pengelola kata sandi disusupi:

Phishing kata sandi utama. Halaman login palsu menangkapnya. Faktor kedua token perangkat keras mencegah hal ini sepenuhnya.
Malware di perangkat. Keylogger menangkap kata sandi utama saat Anda mengetiknya. Tidak ada perbaikan yang hanya dilakukan melalui perangkat lunak; inilah mengapa kebersihan titik akhir penting bahkan dengan pengelola kata sandi.
Losing akses. Lupa kata sandi utama, kehilangan satu-satunya perangkat, tidak ada opsi pemulihan yang dikonfigurasi. Siapkan kit pemulihan darurat yang dicetak dan simpan secara fisik.

Apa yang dilakukan pengelola kata sandi yang baik untuk Anda di luar penyimpanan

Menghasilkan kata sandi yang kuat per situs dengan kumpulan karakter dan panjang yang dapat dikonfigurasi
Audit entri yang ada untuk digunakan kembali, kata sandi yang lemah, dan pelanggaran yang diketahui (melalui API k-anonimitas HaveIBeenPwned)
Mengisi kredensial hanya pada domain yang cocok, mengalahkan sebagian besar upaya phishing
Menyimpan catatan aman, kartu pembayaran, dokumen identitas dalam enkripsi yang sama vault
Menyediakan vault bersama untuk keluarga atau tim tanpa memaparkan kata sandi individu

Bahkan tingkat gratis dari manajer bereputasi mana pun jauh lebih baik daripada menggunakan kembali kata sandi atau menuliskannya di buku catatan.

Pertanyaan yang sering diajukan

Apakah aman menyimpan semua kata sandi saya di satu tempat?: Ya, jika tempat itu adalah pengelola kata sandi yang dirancang dengan baik dengan kata sandi utama yang kuat dan 2FA diaktifkan. Risiko pelanggaran manajer jauh lebih kecil dibandingkan risiko penggunaan kembali kata sandi, yang merupakan hal yang dieksploitasi oleh hampir setiap serangan pengisian kredensial. Perhitungannya sangat mendukung penggunaan manajer.
Apa pengelola kata sandi yang paling aman?: Di antara pengelola cloud, 1Password, Bitwarden, dan Proton Pass semuanya memiliki reputasi yang kuat. Khusus untuk lokal, KeePassXC adalah standar sumber terbuka. Pengelola browser bawaan dari Apple, Google, dan Mozilla juga merupakan pilihan yang masuk akal — kurang kaya fitur namun dirancang dengan baik.
Bagaimana jika saya lupa kata sandi utama saya?: Tanpa opsi pemulihan, Anda kehilangan akses ke setiap entri. Manajer yang memiliki reputasi baik menawarkan pengunduhan peralatan darurat, pemulihan sosial, atau pemulihan biometrik/berbasis perangkat. Konfigurasikan setidaknya satu sebelum Anda benar-benar membutuhkannya. Tanpa pemulihan, arsitektur tanpa pengetahuan berarti penyedia layanan pun tidak dapat membantu Anda.
Haruskah saya memercayai pengelola kata sandi bawaan browser?: Itu lebih baik daripada digunakan kembali. Batasan utamanya: Anda terkunci pada satu browser, integrasi dengan aplikasi non-browser buruk, fitur audit lebih lemah, dan sinkronisasi lintas platform bergantung pada akun vendor browser. Bagi sebagian besar pengguna biasa, pengelola browser dapat diterima; bagi siapa pun yang memiliki model ancaman serius atau banyak akun, manajer khusus lebih baik.
Bisakah VPN menggantikan pengelola kata sandi?: Tidak — mereka memecahkan masalah yang berbeda. VPN menyembunyikan identitas jaringan Anda dari situs; pengelola kata sandi melindungi identitas akun Anda di situs. Gunakan keduanya. Beberapa penyedia VPN menggabungkan pengelola kata sandi (NordPass dengan NordVPN, Proton Pass dengan Proton VPN); bundlingnya nyaman tetapi batasan privasi antar produk tetap independen.