🔐 Best Practices untuk Password Security di 2026
Panduan lengkap membuat password yang aman. Pelajari standar terbaru keamanan password, hashing algorithm, dan cara implementasinya di aplikasi Anda.
📌 Kenapa Password Masih Relevan?
Saya tahu apa yang Anda pikirkan: "Bukannya sudah ada Face ID, fingerprint, passkey? Kenapa masih bahas password?"
Faktanya: meskipun metode autentikasi modern semakin populer, password masih menjadi metode utama untuk mayoritas aplikasi dan website di dunia. Dan masalahnya, banyak developer dan pengguna masih melakukan kesalahan yang sama seperti 10 tahun lalu.
Artikel ini bukan teori dari buku — ini rangkuman dari apa yang saya pelajari saat mengimplementasikan sistem autentikasi untuk tools di Ced DevTools dan beberapa project klien. Saya akan sharing standar terbaru dari NIST, algoritma hashing yang sebaiknya Anda pakai, dan kesalahan umum yang harus dihindari.
⚠️ Fakta: 81% data breach disebabkan oleh password yang lemah atau compromised (Verizon DBIR 2025).
📋 Standar Password Aman di 2026
NIST (National Institute of Standards and Technology) telah memperbarui guidelines mereka untuk password security. Berikut adalah standar minimum untuk password yang aman:
✅ DO (Lakukan)
- • Minimal 12-16 karakter
- • Gunakan passphrase (kombinasi kata)
- • Mix uppercase, lowercase, numbers, symbols
- • Gunakan password manager
- • Enable 2FA/MFA wherever possible
- • Gunakan unique password untuk setiap akun
❌ DON'T (Jangan)
- • Jangan gunakan password kurang dari 8 karakter
- • Jangan gunakan informasi pribadi (nama, tanggal lahir)
- • Jangan gunakan password umum (123456, password)
- • Jangan share password via email/chat
- • Jangan reuse password di multiple sites
- • Jangan store password di plaintext
⚠️ 20 Password Paling Umum (JANGAN DIGUNAKAN!)
Berdasarkan data dari NordPass dan Have I Been Pwned, ini adalah password paling umum yang digunakan di 2025. Jika password Anda ada di list ini, SEGERA ganti!
💻 Password Hashing untuk Developer
Jika Anda developer, JANGAN PERNAH menyimpan password dalam plaintext. Selalu hash password sebelum menyimpan ke database. Berikut adalah algorithm hashing yang direkomendasikan di 2026:
| Algorithm | Status | Rekomendasi |
|---|---|---|
| Argon2id | BEST | Password hashing modern (winner of Password Hashing Competition) |
| bcrypt | GOOD | Masih aman, widely supported, cost factor 12+ |
| scrypt | OK | Memory-hard, good untuk cryptocurrency |
| PBKDF2 | MINIMUM | Minimum acceptable, 100,000+ iterations |
| MD5/SHA-1 | BROKEN | JANGAN DIGUNAKAN! Mudah di-crack |
📜 Node.js (bcrypt)
const bcrypt = require('bcrypt');
const saltRounds = 12;
// Hash password
async function hashPassword(plainPassword) {
const salt = await bcrypt.genSalt(saltRounds);
const hash = await bcrypt.hash(plainPassword, salt);
return hash;
}
// Verify password
async function verifyPassword(plainPassword, hash) {
const match = await bcrypt.compare(plainPassword, hash);
return match;
}🐍 Python (argon2-cffi)
from argon2 import PasswordHasher
from argon2.exceptions import VerifyMismatchError
ph = PasswordHasher()
# Hash password
hashed = ph.hash("my_secure_password")
# Verify password
try:
ph.verify(hashed, "my_secure_password")
print("Password matches!")
except VerifyMismatchError:
print("Password does not match!")🐘 PHP (password_hash)
<?php
// Hash password (PHP uses bcrypt by default)
$hashed = password_hash("my_secure_password", PASSWORD_ARGON2ID);
// Verify password
if (password_verify("my_secure_password", $hashed)) {
echo "Password matches!";
} else {
echo "Password does not match!";
}
// Check if rehash needed
if (password_needs_rehash($hashed, PASSWORD_ARGON2ID)) {
// Create new hash and update database
}🔍 Password Validation Regex
Untuk implementasi password validation di frontend, Anda bisa menggunakan regex pattern berikut:
^(?=.*[a-z])(?=.*[A-Z])(?=.*\d)(?=.*[@$!%*?&])[A-Za-z\d@$!%*?&]{12,}$Pattern ini memastikan password memiliki: minimal 12 karakter, 1 huruf kecil, 1 huruf kapital, 1 angka, dan 1 karakter special.
🔑 Two-Factor Authentication (2FA)
Password yang kuat saja tidak cukup. Selalu enable 2FA/MFA untuk akun-akun penting Anda. Berikut adalah metode 2FA dari yang paling aman:
- 1.Security Key (YubiKey)🟢 Highest
Phishing-resistant, hardware-based
- 2.Authenticator App (Google/Microsoft)🟢 High
TOTP-based, works offline
- 3.SMS/Email OTP🟡 Medium
Vulnerable to SIM swapping
🗄️ Password Manager Rekomendasi
Gunakan password manager untuk generate dan store password yang unik dan kuat untuk setiap akun. Rekomendasi kami:
Bitwarden
Open Source • Free / $10/year
1Password
Proprietary • $36/year
KeePassXC
Open Source • Free
NordPass
Proprietary • $24/year
✅ Kesimpulan
Password security di 2026 bukan hanya tentang membuat password yang kuat, tapi juga tentang menggunakan layered security approach: password kuat + password manager + 2FA + good security habits.
Untuk developer, selalu gunakan hashing algorithm yang kuat (Argon2id atau bcrypt) dan jangan pernah store password dalam plaintext. Anda bisa test strength password menggunakan Password Generator di Ced DevTools.
🔗 Tools Terkait
CED
Developer di Balik Ced DevTools
Developer yang frustrasi dengan tools online yang lambat dan penuh iklan, jadi buat sendiri. Passionate dengan React, TypeScript, dan membuat hal-hal yang memudahkan developer lain. Ced DevTools adalah proyek pribadi — tidak ada tim besar di balik ini.