Penguji Kekuatan Password (entropi + waktu crack)

Ketik password (hanya browser, tidak pernah ditransmisikan). Penguji menghitung entropi, cakupan charset, risiko pencocokan kamus, dan menampilkan estimasi waktu crack untuk serangan GPU offline, batas API online, dan serangan online lambat.

Password

Diuji sepenuhnya di browser Anda. Tidak pernah dikirim atau disimpan di mana saja.

Cara kerjanya

Apa yang dimaksud 'entropi' untuk password

Entropi mengukur ketidakprediktan dalam bit. Password dengan 30 bit entropi membutuhkan ~2³⁰ ≈ 1 miliar tebakan rata-rata untuk di-crack. 70+ bit umumnya dianggap kuat; 80+ sangat baik.

Formula: entropi = panjang × log₂(ukuran_charset). 'abcdefgh' (8 karakter, hanya huruf kecil) = 8 × log₂(26) ≈ 37,6 bit. 'aA1!aaaa' (8 karakter, semua charset) = 8 × log₂(95) ≈ 52,6 bit — tetapi waktu crack jauh lebih buruk dari yang disarankan 52 bit karena 'aaaa' adalah pola umum.

Mengapa waktu crack sangat bervariasi

GPU offline: hash password yang bocor sedang diserang secara offline. GPU modern dapat menebak 10⁹+ hash MD5 per detik; hash bcrypt hanya 10⁴-10⁵/dtk. Estimasi ini menggunakan asumsi hash GPU-cepat.

Online cepat: penyerang yang menghantam API login secara langsung. Sebagian besar API memiliki batas suku bunga; 1000 percobaan/dtk adalah estimasi ujung atas untuk endpoint yang kurang terlindungi.

Online lambat: endpoint yang terlindungi dengan baik dengan batas suku bunga yang ketat, kunci akun, dan CAPTCHA. 100 percobaan/dtk adalah perkiraan yang murah hati; banyak sistem hanya mengizinkan 5-10/menit.

Estimasi ini mengabaikan faktor dunia nyata seperti serangan kamus (yang menemukan password umum jauh lebih cepat dari brute force) dan penggunaan ulang password (meng-crack kebocoran satu situs membantu meng-crack situs lain).

Apa yang membuat password kuat

Panjang mengalahkan kompleksitas: passphrase 16 karakter seperti 'kuda benar baterai staple' lebih kuat dari password tersiksa 8 karakter seperti 'P@ssw0rd!'. Wawasan ini masih berlaku: 4 kata acak memberikan ~44 bit entropi.

Hindari pola: tanggal, nama, '123', 'qwer', karakter berulang semuanya mengurangi entropi nyata di bawah nilai formula. Alat serangan mencakup transformasi 'berbasis aturan' yang ekstensif (misalnya 'password' → 'P@ssw0rd!').

Gunakan manajer password: manusia memilih pola; manajer tidak. Bitwarden, 1Password, KeePass menghasilkan password yang benar-benar acak per situs, dengan 16+ karakter di semua charset. Satu-satunya password yang perlu Anda ingat adalah password master — dan itu harus passphrase yang panjang dan dapat diingat.

Pertanyaan umum

›Apakah password saya dikirim ke mana saja?

Tidak. Semuanya berjalan secara lokal di browser Anda. Kami tidak melihat, menyimpan, atau mentransmisikan password Anda.

›Mengapa password panjang saya menampilkan entropi rendah?

Panjang bukan segalanya — mengulang 'a' 50 kali memiliki entropi nyata yang sangat rendah. Kalkulator menggunakan formula sederhana tetapi menandai pola berulang/sekuensial. Untuk hasil terbaik: panjang, bervariasi, tanpa pola.

›Apakah waktu crack ini akurat?

Ini adalah estimasi berdasarkan brute force naif. Peretas nyata menggunakan kamus, pola umum, dan basis data password yang bocor terlebih dahulu — sehingga password 'umum' mungkin di-crack dalam detik meskipun memiliki entropi formula tinggi.

›Haruskah saya khawatir tentang komputer kuantum?

Pada akhirnya ya — algoritma Grover mengurangi setengah bit efektif enkripsi simetris. Untuk saat ini, 80+ bit entropi sudah nyaman; 128+ untuk rahasia jangka sangat panjang.

›Mengapa alat ini menandai 'P@ssw0rd1' meskipun memiliki semua charset?

Karena 'password' ada dalam kamus dan substitusi sepele (a → @) adalah bagian dari setiap alat cracking. Gunakan password yang benar-benar acak atau bergaya passphrase, bukan substitusi kata umum.

›Apakah passphrase empat kata benar-benar aman?

Cukup ya. 4 kata acak dari daftar 7000 kata = ~52 bit entropi. Lebih kuat dari kebanyakan password 8 karakter kompleks. Tetapi pilih kata acak Anda sendiri — frasa yang terkenal sudah ada dalam kamus.

›Berapa panjang password minimum yang harus saya gunakan?

8 adalah minimum mutlak (dan hanya dengan semua charset). 12+ direkomendasikan untuk sebagian besar akun. 16+ untuk yang penting (email, perbankan, master manajer password).

›Apakah sensitivitas huruf besar/kecil penting?

Ya — menambahkan huruf besar menggandakan ukuran charset dari 26 menjadi 52. Kira-kira +1 bit per karakter. Mencampur kasus secara bermakna (bukan hanya huruf pertama) sepadan untuk dilakukan.

Alat terkait

Terakhir diperbarui: 2026-05-07

Coba prompt AI kami →