Keselamatan kata laluan pada tahun 2026 jauh lebih sukar daripada 5 tahun lalu. Gabungan peretasan dikuasakan AI, pelanggaran data besar-besaran dan serangan pemadat kelayakan bermakna kebanyakan kata laluan "selamat" telah terjejas.
Kebenaran tentang kata laluan:
- Purata kata laluan adalah dalam 47 pelanggaran data yang diketahui (semak anda di Adakah Saya Telah Diculik)
- Kata laluan 8 aksara dengan huruf besar bercampur + nombor + simbol retak dalam 39 minit pada GPU moden
- Kata laluan rawak 16 aksara mengambil masa 5+ bilion tahun untuk dipecahkan
- Perkara yang paling penting ialah PANJANG, bukan kerumitan
Strategi 3 peringkat:
Tahap 1: Akaun kritikal (perbankan, e-mel, pengurus kata laluan)
- Gunakan kata laluan rawak unik, 25+ aksara
- Dayakan 2FA dengan apl pengesah (Authy, Aegis) — BUKAN SMS
- Untuk e-mel + perbankan, dayakan juga kunci keselamatan perkakasan (YubiKey 5 — $50)
- Tukar setiap 12 bulan
Tahap 2: Akaun penting (belanja, media sosial, kerja)
- Kata laluan rawak 18 aksara yang unik
- 2FA didayakan
- Dihasilkan oleh pengurus kata laluan
Peringkat 3: Akaun bernilai rendah (forum, alatan percuma, pendaftaran sekali)
- Kata laluan rawak 15 aksara unik (masih diurus oleh pengurus kata laluan)
- Langkau 2FA jika tidak ditawarkan dengan mudah
- Gunakan alias e-mel (SimpleLogin, Apple Hide My Email) untuk mengehadkan pendedahan
Pengurus kata laluan yang patut digunakan:
- 1Kata Laluan ($36/tahun) — terbaik keseluruhan, perkongsian keluarga, nota selamat
- Bitwarden ($10/tahun atau percuma) — sumber terbuka, kurang digilap tetapi boleh dipercayai
- Rantai Kunci Apple (percuma) — baik jika anda 100% ekosistem Apple
- TIDAK LastPass (pelbagai pelanggaran, hilang kepercayaan)
Kedudukan pengesahan dua faktor:
1. Kunci keselamatan perkakasan (YubiKey, Titan) — kalis pancingan data
2. Apl Pengesah (Authy, Aegis, 1Password TOTP)
3. SMS (terdedah kepada pertukaran SIM — gunakan hanya jika tiada lagi yang tersedia)
4. 2FA berasaskan e-mel (lebih baik daripada tiada)
Penjana kata laluan percuma terbaik: Penjana Kata Laluan Wikishopline — menjana kata laluan rawak selamat dalam penyemak imbas anda, tidak pernah disimpan, tiada pendaftaran.
Mitos biasa disangkal:
- "Tukar kata laluan setiap 90 hari" → garis panduan NIST yang lapuk, lebih berbahaya daripada membantu
- "Jangan tulis kata laluan" → baik jika dikunci secara fizikal, cuma jangan simpan yang tidak disulitkan secara digital
- "Kes bercampur + simbol menjadikan kata laluan selamat" → panjang lebih penting
- "Autolengkap penyemak imbas baik" → ok untuk akaun berisiko rendah; gunakan pengurus kata laluan sebenar untuk yang penting
Apa yang perlu dilakukan jika dilanggar:
1. Semak Adakah Saya Telah Diculik — mengenal pasti tapak mana
2. Tukar kata laluan pada tapak yang dilanggar + mana-mana tapak lain menggunakan kata laluan yang sama
3. Dayakan 2FA pada semua akaun penting
4. Lari Adakah saya Telah Pwned semak kata laluan untuk melihat sama ada kata laluan ANDA secara khusus muncul dalam pelanggaran