- Analisis baru tahun 2025 terhadap 2+ miliar kredensial yang bocor menunjukkan bahwa kata sandi yang paling populer dapat ditebak dengan mudah.
- Kombinasi seperti 123456, 12345678, 123456789, admin, dan kata sandi muncul di jutaan akun yang diretas.
- Pola umum tetap ada: untaian angka saja, urutan papan ketik, dan kata-kata sederhana mendominasi, dengan banyak kata sandi di bawah 12 karakter.
- Pakar keamanan mendorong kata sandi yang unik dan panjang, MFA, pengelola kata sandi, dan kunci sandi (FIDO2) untuk mengekang pengambilalihan akun.
Mungkin terasa nyaman untuk masuk dengan sesuatu yang sederhana seperti 123456 atau kata sandi, tetapi pada tahun 2025 kenyamanan itu datang dengan harga yang mahal: kata sandi yang paling sering digunakan juga merupakan kata sandi yang paling mudah dibobol oleh penyerangData pelanggaran menunjukkan bahwa jutaan akun bergantung pada pilihan yang terlalu mudah ditebak.
Tinjauan skala besar terhadap lebih dari 2 miliar kredensial bocor Beredar di forum kriminal tahun ini mengonfirmasi tren tersebut: kata sandi yang paling sering dipilih orang justru yang pertama kali jatuh ke alat otomatis. Bukti yang dikumpulkan oleh peneliti keamanan independen dan berbagai media, termasuk Comparitech, menggarisbawahi ketergantungan yang keras kepala pada login yang lemah dan dapat digunakan kembali.
Apa yang terungkap dari data pelanggaran tahun 2025
Di seluruh berkas yang diperiksa, urutan numerik dan kata-kata generik mendominasi. Puncak daftar global, string “123456” muncul di sekitar 7,618,192 akun terekspos, diikuti oleh “12345678” di 3,676,487 dan “123456789” di 2,866,100Kata-kata yang sering terlihat termasuk “admin” (1,987,808) dan “kata sandi” (1,082,010), yang tetap menjadi favorit abadi meskipun sudah ada peringatan selama bertahun-tahun.
- 123456: 7,618,192 penampilan
- 12345678: 3,676,487 penampilan
- 123456789: 2,866,100 penampilan
- admin: 1,987,808 penampilan
- kata sandi: 1,082,010 penampilan
- 111111: 326,154 penampilan
- admin123: 306,343 penampilan
- minecraft: 69,464 penampilan (terutama ditempatkan di bagian belakang 100 teratas)
Pilihan-pilihan ini bukan hanya hal yang umum; namun juga sangat dapat diprediksi dalam serangan brute-force dan kamus. Setelah satu kata sandi lemah ditemukan, penyerang sering kali mencobanya di tempat lain, sehingga isian kredensial jalur cepat menuju lebih banyak pengambilalihan akun.
Pola yang membuat kata sandi mudah ditebak
Para analis menemukan bahwa di antara kata sandi yang paling sering digunakan, sekitar satu dari empat murni numerik, mencerminkan bias terhadap kemudahan mengetik dan memori dibandingkan keamanan. Pola pikir praktis ini mendorong penggunaan kembali secara luas dan menjaga tingkat keberhasilan serangan terlalu tinggi.
Selain angka-angka sederhana, blok-blok bangunan yang berulang muncul lagi dan lagi: kira-kira 38.6% menyertakan urutan “123”, sambil berkeliling 2% menggunakan angka menurun seperti “321”. Rangkaian huruf sederhana juga umum, dengan sekitar 3.1% mengandung “abc”, dan pola keyboard seperti "QWERTY" masih beredar.
Kata-kata umum adalah titik lemah lainnya. Varian dari “pass” atau “password” muncul sekitar 3.9% salah satu login yang paling sering digunakan, “admin” muncul sekitar 2.7%, dan “selamat datang” di sekitar 1%Istilah-istilah ini adalah salah satu hal pertama yang dicoba oleh alat peretas otomatis.
Bagaimana kata sandi yang pendek dan sederhana jatuh dalam hitungan detik
Panjang dan kompleksitas penting. Dalam kumpulan data yang ditinjau, sekitar 65.8% kata sandi yang terekspos memiliki kurang dari 12 karakter, dan kira-kira 6.9% memiliki kurang dari 8. Hanya tentang 3.2% melebihi 16 karakter, yang membuat sebagian besar rentan terhadap tebakan dan peretasan cepat.
Rangkaian pendek dan berulang seperti “123” dan “1234” muncul jutaan kali, yang berarti mereka sudah dimuat sebelumnya ke dalam kamus penyerangDikombinasikan dengan data pelanggaran yang tersedia secara luas, pola-pola ini memungkinkan para penjahat untuk membobol akun-akun baru dalam hitungan detik dan kemudian memanfaatkannya penggunaan kembali kata sandi untuk beralih ke email, jejaring sosial, dan bahkan portal perbankan.
Cara praktis untuk melindungi akun Anda
Para ahli terus merekomendasikan pendekatan berlapis: mengadopsi kata sandi yang panjang, unik, dan rumit untuk setiap akun, dan aktifkan autentikasi multifaktor (MFA) di mana pun tersedia untuk mengurangi dampak pencurian kata sandi.
- Buat kata sandi yang 12+ karakter dan mencampur huruf besar/kecil, angka, dan simbol.
- Hindari informasi pribadi seperti nama, tanggal lahir, atau frasa umum.
- Aktifkan two-step verification (aplikasi autentikator atau kunci perangkat keras lebih disukai).
- Gunakan reputasi password manager untuk menghasilkan dan menyimpan kredensial unik.
Melihat ke depan, kunci sandi berdasarkan standar FIDO2 menawarkan alternatif kata sandi yang lebih tangguh. Mereka mengandalkan kunci kriptografi yang terhubung ke perangkat Anda dan diautentikasi dengan biometrik atau PIN lokalKarena hanya kunci publik yang dibagikan dengan situs web, bahkan pelanggaran situs tidak akan mengungkap rahasia yang dapat digunakan kembali, sehingga phishing dan penggunaan kembali kredensial jauh lebih sulit.
Meskipun penerapan metode masuk yang lebih aman ini tumbuh tidak merata di seluruh wilayah dan layanan, panduannya tetap konsisten: menjauh dari kata sandi yang umum, pendek, dan digunakan kembali, dan memasangkan kredensial yang kuat dengan MFA atau kunci sandi untuk mengurangi risiko pembobolan akun.
Bukti dari tahun 2025 jelas: Kata sandi yang paling banyak digunakan di dunia juga merupakan kata sandi yang paling tidak amanPilihan populer seperti 123456, admin, dan kata sandi terus mendominasi log pelanggaran, dan pola yang familiar membuatnya mudah ditebak. Memilih kredensial yang lebih panjang dan unik serta mengaktifkan faktor kedua yang kuat adalah langkah mudah yang secara drastis menurunkan peluang keberhasilan serangan.
