Diskusi berkelanjutan tentang keamanan kata sandi kembali memanas seputar implementasi generator kata sandi gaya XKCD, yang menyoroti evolusi kebutuhan keamanan kata sandi dan tantangan yang dihadapi dalam lingkungan kriptografi modern.
Filosofi Kata Sandi XKCD
Pendekatan kata sandi gaya XKCD, yang menyarankan penggunaan beberapa kata acak sebagai kata sandi (seperti correct horse battery staple), awalnya diusulkan sebagai alternatif yang lebih mudah diingat dibandingkan kombinasi karakter kompleks. Metode ini bertujuan untuk menyeimbangkan keamanan dengan kemudahan penggunaan dengan memanfaatkan kumpulan kata yang besar daripada mengandalkan karakter khusus dan angka.
Tantangan Keamanan Modern
Diskusi komunitas mengungkapkan bahwa meskipun pendekatan XKCD masih bernilai, kekuatan komputasi modern telah mengubah lanskap keamanan secara signifikan. Seperti yang dicatat oleh seorang ahli keamanan dalam komunitas:
Komik XKCD mengasumsikan penyerang memiliki 1000 tebakan per detik, tetapi sebuah kotak GPU tunggal pada hash yang dicuri dapat dengan mudah mencapai beberapa miliar tebakan per detik. Jadi model keamanan dalam komik tersebut sangat optimistis dibandingkan dengan beberapa model ancaman yang wajar dan umum.
Kecepatan Umum Serangan Password:
- Server jarak jauh (dasar): ~1.000 percobaan/detik
- Hash bcrypt: ~70.000 percobaan/detik
- md5crypt: ~75 juta/detik
- GPU Modern (hash yang dicuri): ~350 miliar percobaan/detik
Implementasi dan Adaptasi
Komunitas telah mengembangkan berbagai implementasi dari konsep pembuatan kata sandi ini, mulai dari perintah shell sederhana hingga aplikasi canggih. Banyak pengelola kata sandi, termasuk 1Password dan Bitwarden, telah memasukkan pendekatan ini ke dalam fitur mereka. Namun, pengembang semakin menambahkan opsi untuk entropi yang lebih tinggi dan langkah-langkah keamanan tambahan untuk mengatasi ancaman modern.
Fitur-Fitur Utama Generator Kata Sandi:
- Pemilihan kamus kata
- Jumlah kata yang dapat disesuaikan
- Pemisah kustom
- Batasan panjang kata
- Perhitungan entropi
- Pembuatan kata sandi berganda
Pertimbangan Praktis
Tantangan signifikan yang disoroti oleh pengguna adalah konflik antara keamanan teoritis dan persyaratan dunia nyata. Banyak situs web menerapkan aturan kata sandi tertentu yang mungkin tidak sesuai dengan pendekatan XKCD murni, seperti mewajibkan karakter khusus atau memberlakukan batasan panjang. Hal ini telah mengarah pada berbagai adaptasi, seperti menambahkan karakter khusus standar pada kombinasi kata yang sebenarnya sudah aman.
Evolusi Keamanan Kata Sandi
Diskusi ini menunjukkan bagaimana keamanan kata sandi terus berkembang. Sementara prinsip dasar pendekatan XKCD tetap valid untuk kasus penggunaan tertentu, terutama di mana vektor serangan jarak jauh menjadi perhatian utama, solusi entropi yang lebih tinggi mungkin diperlukan untuk skenario di mana serangan offline dimungkinkan, seperti melindungi drive terenkripsi atau mempertahankan diri dari hash kata sandi yang dicuri.
Referensi: Introduction