Passphrase vs. Password: Perbandingan Keamanan Teknis

Sebuah password adalah string autentikasi pendek, biasanya 8–16 karakter, yang menggabungkan huruf, angka, dan simbol. Sebuah passphrase adalah urutan kata-kata yang lebih panjang — biasanya 20–40 karakter — yang kekuatannya berasal dari panjang karakter daripada kompleksitas karakter. Dalam hal keamanan langsung, passphrase yang dibuat dengan baik secara kriptografi lebih unggul daripada password biasa karena entropi meningkat secara eksponensial seiring panjang, bukan dengan substitusi simbol.

Jika Anda memutuskan mana yang akan digunakan untuk keamanan akun, autentikasi server, atau perlindungan kunci SSH, jawabannya hampir selalu passphrase — tetapi alasannya memerlukan pemahaman tentang matematika yang mendasarinya, vektor serangan, dan kendala penerapan di dunia nyata yang sebagian besar perbandingan lewatkan sepenuhnya.

Apa Itu Password?

Sebuah password adalah string karakter dengan panjang tetap yang digunakan untuk mengautentikasi pengguna ke suatu sistem. Model konvensional — yang diterapkan oleh sebagian besar sistem lama — mengharuskan minimal 8 karakter dengan setidaknya satu huruf kapital, satu angka, dan satu karakter khusus.

Karakteristik umum:

• Panjang: 8–16 karakter
• Kumpulan karakter: huruf kapital, huruf kecil, angka, simbol (!@#$%^&*)
• Contoh umum: P@ssw0rd123!

Masalah dengan model ini bersifat struktural. Persyaratan kompleksitas mendorong pengguna ke arah pola substitusi yang dapat diprediksi: a menjadi @, o menjadi 0, s menjadi $. Para penyerang telah mengetahui hal ini selama lebih dari satu dekade. Alat cracking berbasis aturan modern seperti Hashcat menerapkan pola substitusi ini secara otomatis, yang berarti P@ssw0rd! tidak jauh lebih sulit untuk dipecahkan daripada Password terhadap daftar kata yang sudah disiapkan.

Entropi dari Password Biasa

Entropi diukur dalam bit: H = L × log2(N), di mana L adalah panjang dan N adalah ukuran kumpulan karakter.

Password acak 10 karakter menggunakan kumpulan 95 karakter ASCII yang dapat dicetak menghasilkan sekitar 65,7 bit entropi. Kedengarannya kuat — sampai Anda memperhitungkan bahwa pengguna tidak memilih secara acak. Password di dunia nyata mengelompok di sekitar pola yang secara dramatis mengurangi entropi efektif, seringkali hingga di bawah 30 bit.

Apa Itu Passphrase?

Sebuah passphrase adalah kredensial autentikasi yang terdiri dari beberapa kata kamus, sering dipisahkan oleh spasi, tanda hubung, atau pembatas lainnya. Contoh kanonik, yang dipopulerkan oleh komik XKCD #936 milik peneliti keamanan Randall Munroe, adalah correct horse battery staple.

Karakteristik umum:

• Panjang: 20–40+ karakter
• Struktur: 4–6 kata umum yang tidak berkaitan
• Contoh: CorrectHorseBatteryStaple

Keamanan passphrase berasal dari ledakan kombinatorial dalam pemilihan kata. Jika Anda mengambil 4 kata secara acak dari daftar 7.776 kata (EFF Large Wordlist, yang dirancang untuk Diceware), jumlah kemungkinan kombinasinya adalah 7.776^4 = sekitar 3,6 triliun. Itu menghasilkan sekitar 51,7 bit entropi — dan menambahkan kata kelima mendorongnya melewati 64 bit, menyamai atau melampaui password acak yang kompleks sambil tetap sepenuhnya dapat diingat oleh manusia.

Mengapa Panjang Mengalahkan Kompleksitas

Realitas matematis intinya adalah: setiap karakter tambahan mengalikan ruang pencarian, tetapi pengalinya bergantung pada kumpulan karakter. Menambahkan satu kata umum lagi ke passphrase (mengalikan dengan ~7.776) jauh lebih berdampak daripada menambahkan satu simbol lagi ke password (mengalikan dengan ~32 untuk kumpulan simbol umum). Panjang adalah variabel dominan dalam ketahanan terhadap serangan brute-force.

Passphrase vs. Password: Perbandingan Teknis

Vektor Serangan: Bagaimana Password dan Passphrase Dipecahkan

Memahami model ancaman sangat penting sebelum memilih format kredensial. Tiga kategori serangan utama berperilaku sangat berbeda terhadap password versus passphrase.

Serangan Brute-Force

Serangan brute-force mengiterasi setiap kemungkinan kombinasi karakter. Terhadap password acak 8 karakter, kluster GPU modern yang menjalankan Hashcat dapat menghabiskan seluruh ruang hash MD5 dalam waktu kurang dari satu jam. Terhadap passphrase Diceware 4 kata yang di-hash dengan bcrypt (cost factor 12), perangkat keras yang sama akan membutuhkan jutaan tahun — bukan karena algoritma hash saja, tetapi karena ruang pencariannya jauh lebih besar.

Implikasi praktisnya: panjang password adalah faktor terpenting dalam mempertahankan diri dari serangan brute-force offline pada database kredensial yang bocor.

Serangan Kamus dan Berbasis Aturan

Di sinilah passphrase yang naif bisa gagal. Jika pengguna membuat passphrase dari kutipan terkenal (ToBeOrNotToBeThatIsTheQuestion), penyerang yang menggunakan daftar kata berbasis frasa atau model rantai Markov akan menemukannya dengan cepat. Pertahanannya adalah keacakan dalam pemilihan kata — khususnya, menggunakan metode bergaya Diceware di mana kata-kata dipilih dengan melempar dadu fisik atau menggunakan generator angka acak yang aman secara kriptografi, bukan berdasarkan asosiasi pribadi.

Passphrase seperti purple elephant jumps moon yang dibuat pengguna karena "terdengar acak" jauh lebih lemah daripada wrist panel clam orbit yang dihasilkan oleh alat Diceware, karena intuisi manusia tentang keacakan secara sistematis bias.

Credential Stuffing dan Phishing

Baik password maupun passphrase tidak memberikan perlindungan terhadap credential stuffing (memutar ulang kredensial yang bocor) atau phishing (menangkap kredensial secara langsung). Satu-satunya mitigasi yang efektif adalah kredensial unik per layanan dan autentikasi multi-faktor (MFA). Namun, passphrase mengurangi masalah penggunaan ulang karena lebih mudah diingat secara unik per akun daripada string karakter acak.

Konteks Penerapan di Dunia Nyata

Passphrase Kunci SSH

Saat Anda membuat pasangan kunci SSH, kunci privat dapat dienkripsi dengan passphrase. Ini adalah salah satu kasus penggunaan passphrase yang paling bernilai tinggi. Jika file kunci privat Anda pernah dieksfiltrasi — dari workstation yang disusupi, backup yang salah konfigurasi, atau laptop yang dicuri — passphrase adalah pertahanan terakhir.

ssh-keygen -t ed25519 -C "your_email@example.com"

Saat diminta, masukkan passphrase Diceware yang kuat. Gunakan ssh-agent untuk menyimpannya dalam cache sehingga Anda tidak perlu mengetiknya di setiap koneksi:

eval "$(ssh-agent -s)"
ssh-add ~/.ssh/id_ed25519

Untuk lingkungan VPS Hosting di mana SSH adalah metode akses utama, menerapkan kunci yang dilindungi passphrase dan menonaktifkan autentikasi password sepenuhnya (PasswordAuthentication no dalam /etc/ssh/sshd_config) adalah langkah penguatan yang mendasar.

Enkripsi Disk (LUKS)

LUKS (Linux Unified Key Setup) menggunakan passphrase untuk menurunkan Volume Master Key melalui PBKDF2 atau Argon2. Jumlah iterasi dikalibrasi untuk memakan waktu sekitar satu detik pada perangkat keras target, yang berarti entropi passphrase secara langsung menentukan ketahanan serangan offline. Passphrase Diceware 4 kata memberikan perlindungan yang memadai; passphrase 6 kata secara efektif tidak dapat dipecahkan dengan teknologi saat ini.

Autentikasi Aplikasi Web

Sebagian besar aplikasi web melakukan hash password menggunakan bcrypt, scrypt, atau Argon2. Faktor kerja dari algoritma ini memperlambat serangan offline, tetapi entropi passphrase tetap penting. Passphrase yang di-hash dengan bcrypt dengan 60 bit entropi jauh lebih tangguh daripada password 8 karakter yang di-hash dengan bcrypt dengan 30 bit efektif, bahkan pada cost factor yang sama.

Kredensial Server dan Infrastruktur

Pada Dedicated Server yang mengelola infrastruktur kritis, kredensial akun root dan administratif harus selalu berupa passphrase — idealnya 5+ kata dari daftar Diceware. Gabungkan ini dengan kebijakan lockout yang diterapkan PAM dan logging terpusat untuk mendeteksi upaya brute-force pada lapisan autentikasi.

Kesalahan Umum Saat Menggunakan Passphrase

Menggunakan kutipan terkenal atau lirik lagu. Penyerang memelihara daftar kata dari frasa umum, judul buku, kutipan film, dan lirik lagu. Passphrase yang diambil dari budaya populer jauh lebih lemah dari yang disarankan jumlah karakternya.

Kombinasi kata yang dapat diprediksi. SunnyDayHappyLife menggunakan empat kata tetapi mengikuti pola yang koheren secara semantik dan optimis yang dapat dihasilkan dan diuji secara efisien oleh model bahasa yang terlatih. Keacakan sejati — bukan "terdengar acak bagi saya" — diperlukan.

Mengabaikan batas karakter sistem. Beberapa aplikasi enterprise lama, portal perbankan, dan sistem tertanam membatasi password hingga 16 atau bahkan 12 karakter, memotong input yang lebih panjang secara diam-diam. Selalu verifikasi bahwa sistem menyimpan passphrase Anda sepenuhnya. Jika dipotong tanpa peringatan, passphrase 30 karakter Anda menjadi password 12 karakter.

Spasi dan karakter khusus dalam passphrase. Beberapa sistem menolak spasi dalam password. Menggunakan pembatas yang konsisten seperti - atau _ antar kata (correct-horse-battery-staple) mempertahankan keterbacaan sambil menghindari masalah kompatibilitas.

Menggunakan ulang passphrase di beberapa layanan. Keunggulan kemudahan mengingat passphrase secara paradoks dapat mendorong penggunaan ulang. Passphrase yang digunakan ulang di lima layanan lima kali lebih mungkin terekspos dalam pelanggaran. Gunakan password manager untuk mempertahankan passphrase unik per akun.

Membuat Passphrase yang Kuat: Metode Teknis

Standar emas untuk pembuatan passphrase adalah metode EFF Diceware:

1. Lempar lima dadu fisik (atau gunakan setara CSPRNG).
2. Baca hasil lima digit dan cari di EFF Large Wordlist.
3. Ulangi 5–6 kali untuk menghasilkan 5–6 kata.
4. Opsional sisipkan angka atau simbol di antara kata-kata untuk sistem yang memerlukannya.

# Generate a Diceware-style passphrase using /dev/urandom on Linux
python3 -c "
import secrets
wordlist = open('/usr/share/dict/words').read().splitlines()
words = [secrets.choice(wordlist) for _ in range(5)]
print(' '.join(words))
"

Untuk penggunaan produksi, lebih baik gunakan alat khusus seperti diceware (paket Python) atau passphraseme, yang menggunakan daftar kata EFF resmi dan sumber acak yang aman secara kriptografi.

Password Manager: Menjembatani Kesenjangan Kegunaan

Password manager menghilangkan kendala kemudahan mengingat sepenuhnya, memungkinkan Anda menggunakan kredensial unik yang dihasilkan secara acak dengan 20+ karakter untuk setiap akun. Password master yang melindungi vault manager harus berupa passphrase Diceware yang kuat — ini adalah satu-satunya kredensial yang harus Anda hafal, dan melindungi semua yang lain.

Pilihan yang direkomendasikan dengan rekam jejak keamanan yang kuat:

• Bitwarden — open-source, diaudit, dapat di-host sendiri
• KeePassXC — hanya lokal, tidak bergantung cloud, kuat untuk lingkungan air-gapped
• 1Password — fitur enterprise yang kuat, arsitektur Secret Key

Saat menerapkan VPS dengan cPanel atau panel kontrol hosting terkelola lainnya, simpan kredensial master panel di vault password manager yang dilindungi oleh passphrase Diceware, dan aktifkan MFA pada panel itu sendiri.

Peran Autentikasi Multi-Faktor

Baik password maupun passphrase tidak cukup secara sendiri untuk akun bernilai tinggi. MFA (Autentikasi Multi-Faktor) menambahkan lapisan verifikasi kedua — kode TOTP, kunci keamanan perangkat keras (FIDO2/WebAuthn), atau notifikasi push — yang membuat kredensial yang dicuri tidak berguna tanpa akses fisik ke faktor kedua.

Tumpukan yang direkomendasikan untuk akun kritis:

• Faktor autentikasi 1: Passphrase Diceware yang kuat (sesuatu yang Anda ketahui)
• Faktor autentikasi 2: Kunci perangkat keras FIDO2 seperti YubiKey atau Google Titan (sesuatu yang Anda miliki)
• Cadangan: Kode pemulihan yang disimpan dengan aman di vault terenkripsi

Untuk akun Email Hosting khususnya, MFA tidak dapat dinegosiasikan. Email adalah vektor pemulihan untuk hampir setiap akun lainnya — mengompromikannya berdampak pada pengambilalihan akun total di semua layanan yang terhubung.

Pertimbangan Regulasi dan Kepatuhan

NIST SP 800-63B (2017, diperbarui 2024) secara eksplisit beralih dari aturan kompleksitas wajib menuju kebijakan berbasis panjang. Rekomendasi NIST utama sekarang mencakup:

• Izinkan password hingga setidaknya 64 karakter (memungkinkan passphrase)
• Jangan wajibkan rotasi password berkala tanpa bukti kompromi
• Periksa password baru terhadap daftar kredensial yang diketahui telah bocor (misalnya, HaveIBeenPwned API)
• Jangan terapkan aturan komposisi (simbol wajib, angka) yang mengurangi entropi dengan mendorong pola yang dapat diprediksi

Organisasi yang masih menerapkan kebijakan minimum 8 characters with uppercase + symbol + number beroperasi bertentangan dengan panduan NIST saat ini. Bermigrasi ke kebijakan yang ramah passphrase dengan minimum 15–20 karakter dan pemeriksaan daftar pelanggaran lebih aman dan lebih mudah digunakan.

Matriks Keputusan: Kapan Menggunakan Apa

Untuk akun Registrasi Domain, perlakukan kredensial registrar sebagai rahasia tingkat pertama. Pembajakan DNS melalui akun registrar yang disusupi dapat mengalihkan semua lalu lintas dan email untuk sebuah domain, melewati semua kontrol keamanan lainnya.

Daftar Periksa Poin Penting Praktis

• Buat passphrase menggunakan metode Diceware dengan CSPRNG, bukan asosiasi pribadi atau frasa terkenal.
• Gunakan minimal 5 kata (sekitar 64 bit entropi) untuk kredensial apa pun yang melindungi data sensitif.
• Verifikasi bahwa sistem target Anda menerima dan menyimpan sepenuhnya panjang passphrase Anda sebelum mengandalkannya.
• Gunakan password manager (Bitwarden, KeePassXC) untuk semua akun kecuali kredensial master vault.
• Lindungi kunci privat SSH dengan passphrase dan gunakan ssh-agent untuk caching sesi.
• Terapkan PasswordAuthentication no dalam /etc/ssh/sshd_config di semua server produksi.
• Aktifkan MFA di setiap akun yang mendukungnya, prioritaskan email, registrar, panel kontrol hosting, dan akun keuangan.
• Audit kebijakan kredensial Anda terhadap NIST SP 800-63B: hapus rotasi wajib dan aturan kompleksitas, tambahkan pemeriksaan daftar pelanggaran.
• Jangan pernah menggunakan ulang passphrase di berbagai layanan, terlepas dari seberapa mudah diingat atau unik rasanya.

Pertanyaan yang Sering Diajukan

Apakah passphrase selalu lebih aman daripada password?

Passphrase yang dihasilkan secara acak dari 4+ kata Diceware hampir selalu lebih aman daripada password yang dipilih pengguna. Namun, password acak 20 karakter yang benar-benar acak yang dihasilkan oleh password manager dapat menyamai atau melampaui entropi passphrase. Keunggulan praktis passphrase adalah kemudahan mengingat dengan entropi tinggi — bukan keunggulan inheren dalam setiap kasus.

Bisakah passphrase dipecahkan oleh AI atau model bahasa?

Model bahasa besar modern dapat menghasilkan urutan kata yang koheren secara semantik, yang berarti passphrase berdasarkan kalimat bermakna atau frasa umum lebih rentan daripada lima tahun lalu. Pertahanannya adalah keacakan ketat dalam pemilihan kata — passphrase yang dihasilkan Diceware tanpa hubungan semantik antar kata tidak jauh lebih rentan terhadap serangan berbantuan LLM dari sebelumnya.

Berapa panjang passphrase minimum untuk perlindungan kunci SSH?

Untuk enkripsi kunci privat SSH, NIST dan sebagian besar kerangka keamanan merekomendasikan setidaknya 128 bit entropi untuk rahasia jangka panjang. Passphrase Diceware 5 kata memberikan sekitar 64 bit, yang dianggap kuat untuk penggunaan interaktif. Untuk lingkungan dengan jaminan tinggi, gunakan 6 kata (sekitar 77 bit) atau gabungkan passphrase dengan kunci keamanan perangkat keras.

Apakah password manager membuat passphrase menjadi usang?

Tidak. Password manager menghasilkan dan menyimpan kredensial acak dengan entropi tinggi untuk semua akun Anda, tetapi vault itu sendiri harus dilindungi oleh kredensial master yang dapat Anda hafal. Kredensial master tersebut harus berupa passphrase Diceware yang kuat. Kedua alat ini saling melengkapi, bukan bersaing.

Bagaimana cara menangani sistem yang menolak passphrase panjang atau spasi?

Gunakan pembatas kata yang konsisten yang diterima sebagian besar sistem, seperti - atau . (misalnya, correct-horse-battery-staple). Jika sistem memberlakukan batas karakter keras di bawah 20 karakter, gunakan panjang maksimum yang diizinkan dengan string acak yang dihasilkan password manager dan tandai sistem tersebut sebagai tidak patuh terhadap NIST SP 800-63B untuk perbaikan.