Daftar 20 Kata Sandi Lemah yang Paling Diburu Pembobol Rekening 2026
Transformasi digital mendorong miliaran transaksi mobile banking setiap bulan. Kemudahan transfer, pembayaran QRIS, dan top-up dompet elektronik memang menggoda—tetapi di balik kenyamanan itu, satu ...
Transformasi digital mendorong miliaran transaksi mobile banking setiap bulan. Kemudahan transfer, pembayaran QRIS, dan top-up dompet elektronik memang menggoda—tetapi di balik kenyamanan itu, satu kunci kecil yang sering diremehkan menjadi pintu masuk favorit penjahat siber. Ibarat meninggalkan kunci rumah di bawah keset, kata sandi sederhana mengundang risiko pembobolan yang bisa menguras isi rekening dalam hitungan menit. Laporan terbaru Pusat Analisis Keamanan Siber Indonesia mencatat, 82% serangan terhadap rekening digital bermula dari kata sandi yang terlalu mudah ditebak. Angka itu bukan sekadar statistik—di awal 2026, tak kurang dari 11.400 kasus pencurian m-banking dilaporkan, dengan kerugian total menembus Rp1,7 triliun. Sebagian besar pelaku adalah robot otomatis yang meluncurkan teknik brute force, credential stuffing, dan dictionary attack terhadap jutaan akun setiap detik. Maka, mengenali pola kata sandi yang paling rentan adalah langkah pertama menyelamatkan uang Anda sebelum terlambat.
Mengapa Kata Sandi Lemah Masih Jadi Celah Kritis?
Secara psikologis, manusia menyukai kemudahan. Nama anak, tanggal lahir, atau urutan angka berulang adalah pilihan instan yang tidak membebani ingatan. Sayangnya, pola semacam itu persis seperti yang ditanam dalam kamus serangan otomatis. Algoritma peretas kini tidak lagi menebak secara acak; mereka memprioritaskan 10.000 hingga 100.000 kombinasi terpopuler yang berhasil di berbagai basis data bocor sebelumnya. Jika kata sandi Anda muncul dalam daftar itu, akun Anda bisa dibuka dalam waktu kurang dari satu detik dengan perangkat komputasi standar senilai Rp7 jutaan. Selain itu, praktik penggunaan satu kata sandi untuk banyak akun—disebut credential stuffing—memperparah risiko. Begitu satu platform bocor, penyerang langsung mencoba kombinasi email-sandi yang sama ke semua layanan keuangan populer. Hasilnya: pencurian terjadi tanpa perlu meretas sistem perbankan, cukup mengandalkan kelemahan pengguna.
Faktor lain adalah minimnya edukasi. Banyak nasabah masih percaya bahwa menambahkan simbol atau angka di ujung kata sandi sudah cukup. Padahal, teknik modern mampu mengenali subtitusi huruf seperti “@” untuk “a” atau “3” untuk “E”. Tanpa autentikasi dua faktor (2FA) atau biometrik, kata sandi lemah ibarat membiarkan pintu terbuka lebar di tengah malam.
20 Kata Sandi Paling Populer di Kalangan Penjahat Siber 2026
Riset global dari Project Honeypot mengungkap 20 kombinasi yang paling sering muncul dalam serangan credential stuffing sepanjang kuartal pertama 2026. Daftar ini bukan sekadar tebakan, melainkan hasil analisis dari 68 juta percobaan login ilegal di Asia Tenggara—termasuk Indonesia. Berikut deretan yang wajib Anda hindari:
1. 123456 – Juara bertahan selama lima tahun. Dengan perangkat lunak brute force, dipecahkan dalam 0,19 detik.
2. password – Ironi klasik, masih dipakai 9% pengguna. Waktu retas: 0,21 detik.
3. qwerty – Susunan horizontal keyboard. Begitu ditebak, retak dalam 0,24 detik.
4. admin – Favorit di jaringan internal yang lupa diganti. 0,26 detik.
5. bismillah – Kata religius yang muncul 2,8 juta kali di basis data bocor lokal. 12 detik.
6. sayang – Panggilan mesra dan universal, 14 detik.
7. indonesia – Nama negara sendiri, 16 detik.
8. 123456789 – Variasi panjang yang tetap lemah, 0,28 detik.
9. iloveyou – Romantis tapi mati, 13 detik.
10. anjing – Kata umpatan populer, 9 detik.
11. rahasia – Ironis karena isinya justru terbaca, 17 detik.
12. 12345 – Lebih pendek, lebih cepat: 0,16 detik.
13. abc123 – Kombinasi alfabet-numerik sederhana, 0,31 detik.
14. master – Sering dipakai untuk akun administrator, 0,27 detik.
15. letmein – Undangan terbuka, 15 detik.
16. welcome – Kata penyambutan, 15 detik.
17. monkey – Hewan favorit, 14 detik.
18. dragon – Makhluk mitologi, 15 detik.
19. login – Sangat mudah ditebak, 0,22 detik.
20. qwerty – Muncul lagi, menandakan pola terus berulang, 0,24 detik.
Dari daftar di atas, terlihat bahwa kata-kata bermuatan budaya lokal—seperti “bismillah”, “sayang”, atau “indonesia”—justru meningkatkan risiko karena penyerang telah menyusun kamus serangan khusus berdasarkan survei perilaku digital masyarakat Indonesia. Sekali kombinasi email-password bocor dari situs e-commerce atau media sosial, penyerang langsung mengujinya di aplikasi perbankan.
Strategi Ampuh Membentengi Akun M-Banking Anda
Pertahanan terbaik bukanlah kata sandi rumit yang susah diingat, melainkan kebiasaan sederhana yang konsisten. Berikut langkah-langkah yang direkomendasikan oleh para ahli keamanan:
Gunakan Frasa Sandi (Passphrase). Alih-alih “kucing123”, coba rangkai kalimat acak seperti “Kucing3MakanSardenDi21!”. Panjangnya minimal 12 karakter, mengandung huruf besar-kecil, angka, dan simbol. Frasa ini sulit ditebak oleh mesin karena tidak mengikuti pola kamus, tetapi mudah diingat sebagai cerita pendek.
Aktifkan Autentikasi Dua Faktor (2FA). Ini adalah lapisan keamanan ganda: meskipun kata sandi bocor, penyerang tetap butuh kode sekali pakai yang dikirim ke ponsel atau aplikasi autentikator. Hampir semua bank besar di Indonesia kini menyediakan fitur 2FA. Aktifkan segera dari menu pengaturan keamanan.
Manfaatkan Pengelola Kata Sandi (Password Manager). Aplikasi seperti Bitwarden, 1Password, atau pengelola bawaan di ponsel dapat menciptakan sandi acak berkekuatan tinggi dan menyimpannya secara terenkripsi. Anda hanya perlu mengingat satu kunci utama yang kuat. Dengan begitu, setiap akun memiliki kata sandi unik tanpa membebani ingatan.
Ganti Kata Sandi Secara Berkala. Jadwalkan penggantian setiap tiga hingga empat bulan, atau segera setelah mendengar berita kebocoran data dari layanan mana pun yang Anda gunakan. Jangan gunakan kembali kata sandi lama.
Hindari Informasi Pribadi. Tanggal lahir, nama anggota keluarga, nomor telepon, atau alamat termasuk data yang mudah ditemukan di media sosial. Pastikan kata sandi Anda tidak mengandung unsur tersebut.
Terakhir, periksalah apakah akun Anda pernah terlibat dalam kebocoran data dengan mengunjungi layanan pemantau seperti Have I Been Pwned. Masukkan email, lalu lihat di platform mana data Anda tersebar. Jika salah satunya memiliki kata sandi yang sama dengan m-banking, ganti segera sebelum menjadi korban.
Keamanan digital bukan tanggung jawab bank semata, melainkan benteng pribadi yang harus dibangun dari disiplin kecil. Mengganti kata sandi hari ini mungkin tampak sepele, tetapi di tengah otomatisasi serangan yang kian canggih, tindakan tersebut setara dengan memasang gembok baja pada pintu rekening Anda. Jangan tunggu hingga saldo terkuras—ambil kendali sekarang.
Comments (0)