Teknogav.com – Jumlah kata sandi yang dimiliki satu orang bisa lebih banyak dari yang dikira. Biasanya, layanan dan aplikasi online mengharuskan untuk membuat kata sandi. Kemungkinan, banyak dari kata sandi tersebut tak dapat digunakan setiap hari karena jumlahnya tak terhingga. Jadi kemungkinan besar banyak kata sandi yang digunakan berulang.  Demi mencegah penggunaan kata sandi yang sama beberapa kali, pengguna didesak untuk membuat kata sandi yang unik untuk mengatasi kerentanan.

Pembuatan dan pengelolaan kata sandi bisa menjadi hal yang sulit. Beban pembuatan dan pengelolaan kata sandi ini pun kerap diatasi dengan menggunakan model bahasa besar (LLM) untuk membuat kata sandi. LLM ini bisa berupa ChatGPT, Llama, atau DeepSeek untuk mengatasi kerumitan dalam membuat kata sandi. Kata sandi dapat dibuat hanya dengan memberi instruksi ‘Buat kata sandi yang aman’. Akal Imitasi (AI) dapat menghasilkan rangkaian kata sandi yang terlihat acak, sulit diprediksi dan berbasis kamus. Sayangnya, tampilan dapat menipu, kata sandi yang dibuat AI kemungkinan tidak seman yang dilihat.

Baca juga: Indonesia Raih Peringkat Kedua Jumlah Serangan Bruteforce di Asia Tenggara

Pengujian keamanan kata sandi hasil pembuatan AI dilakukan Alexey Antonov, Kepala Tim Ilmu Data (Data Science Team Lead) di Kaspersky. Pembuatan 1.000 kata sandi dilakukan dengan beberapa LLM termasuk ChatGPT (dari OpenAI), Llama (model dari grup Meta), dan DeepSeek.

"Semua model menyadari bahwa kata sandi yang baik terdiri dari setidaknya 12 karakter, termasuk huruf besar dan kecil, angka, dan simbol. Mereka melaporkan hal ini saat membuat kata sandi. DeepSeek dan Llama terkadang menghasilkan kata sandi yang terdiri dari kata-kata kamus, yang di dalamnya, alih-alih beberapa huruf, terdapat angka dengan bentuk yang sama: S@d0w12, M@n@go3, B@n@n@7 (DeepSeek), K5yB0a8dS8, S1mP1eL1on (Lllama). Kedua model ini suka menghasilkan kata sandi "password": P@ssw0rd, P@ssw0rd!23 (DeepSeek), P@ssw0rd1, P@ssw0rdV (Llama). Tak perlu dikatakan lagi, kata sandi seperti itu tidak aman" ucap Antonov.

Baca juga:  23.491.775 Serangan Bruteforce Berusaha Bobol Kredensial Bisnis di Asia Tenggara

Trik mengganti huruf sudah diketahui dan tidak sulit untuk 'dilakukan dengan upaya ‘bruteforce’. ChatGPT tidak mengalami masalah ini dan menghasilkan kata sandi yang tampak acak. Misalnya:

• qLUx@^9Wp#YZ
• LU#@^9WpYqxZ
• YLU@x#Wp9q^Z
• YLp^9W#qX@zv
• P@zq^XWLY#v9
• v#@LqYXW^9pz
• X@9pYWq^#Lzv

Ketika diperhatikan baik-baik, maka terlihat pola, misalnya banyak penggunaan angka 9. Pada histogram simbol dalam 1.000 kata sandi yang dihasilkan ChatGPT, hampir semua kata sandi mengandung simbol x, p, l, L.

Baca juga: Upaya Bobol Kata Sandi Perusahaan Kian Ganas di Asia Tenggara

Frekuensi karakter yang digunakan dalam kata sandi yang dihasilkan oleh ChatGPT

Kata sandi tersebut sama sekali tidak terlihat seperti huruf acak. DeepSeek dan Llama terkadang menghasilkan kata sandi yang terdiri dari kata-kata kamus dengan beberapa huruf dan angka berpola sama. Berikut ini contohnya: S@d0w12, M@n@go3, B@n@n@7 (DeepSeek), K5yB0a8dS8, S1mP1eL1on (Lllama). Kedua model tersebut sering membuat kata sandi "password": P@ssw0rd, P@ssw0rd!23 (DeepSeek), P@ssw0rd1, P@ssw0rdV (Llama). Beberapa kata sandi tersebut jelas tidak aman.

Pada Llama, situasinya masih sedikit lebih baik: Llama sering menggunakan simbol #, huruf p, l, L.

Frekuensi karakter yang digunakan dalam kata sandi yang dihasilkan oleh Llama

DeepSeek menunjukkan kecenderungan serupa:

 

Frekuensi karakter yang digunakan dalam kata sandi yang dihasilkan oleh DeepSeek

Generator acak yang ideal tidak sering memakai huruf apa pun. Semua simbol harus muncul dengan jumlah yang hampir sama. Biasanya, algoritmanya juga mengabaikan penyisipan karakter khusus atau digit ke dalam kata sandi. Persentasenya 26% kata sandi untuk ChatGPT, 32% untuk Llama, dan 29% untuk DeepSeek. DeepSeek dan Llama juga kerap menghasilkan kata sandi yang lebih singkat dari 12 karakter.

Kelemahan ini memungkinkan penjahat siber melakukan serangan bruteforce kata sandi lebih cepat. Ketimbang mencoba kombinasi karakter secara berurutan seperti "aaa", "aab", "aac", .. "aba", "abb", "abc", ... "zzz", maka dapat memulai dengan kombinasi yang lebih sering.

Antonov mengembangkan algoritma pembelajaran mesin untuk menguji kekuatan kata sandi pada tahun 2024. Algoritma tersebut dapat memecahkan 60% kata sandi dalam waktu kurang dari sejam menggunakan GPU modern atau alat pembobolan berbasis cloud. Ketika diterapkan pada kata sandi yang dihasilkan AI, 88% kata sandi yang dihasilkan DeepSeek bisa ditembus. Hasil yang hampir sama terjadi pada kata sandi yang dibuat Llama, yaitu 87% kata sandi berhasil ditembus. ChatGPT berhasil meraih angka yang lebih baik, yaitu hanya 33% kata sandi yang berhasil ditembus pengujian.

“Masalahnya adalah LLM tidak menciptakan keacakan yang sebenarnya. Sebaliknya, mereka meniru pola dari data yang ada, membuat hasilnya dapat diprediksi oleh penyerang yang memahami cara kerja model ini,” pungkas Antonov.

Pengelolaan Kata Sandi yang Aman

Ketimbang mengandalkan AI untuk membuat kata sandi, lebih baik menggunakan perangkat lunak pengelolaan kata sandi khusus. Salah satu solusi yang dapat digunakan adalah Kaspersky Password Manager. Solusi ini menggunakan generator yang aman secara kriptografis untuk membuat kata sandi tanpa pola yang bisa dideteksi. Generator ini memastikan keacakan yang sesungguhnya. Solusi ini juga dapat menyimpan semua kredensial dalam brankas yang aman dan dilindungi satu kata sandi utama. Fitur ini mengatasi tantangan dalam mengingat ratusan kata sandi, sambil tetap menjaganya aman dari pembobolan.

Pengelola kata sandi juga menyediakan pengisian otomatis dan sinkronisasi di seluruh perangkat. Sinkronisasi ini memudahkan proses masuk tanpa mengurangi keamanannya. Pemantauan pelanggaran juga disertakan pada solusi ini sehingga bisa menginformasikan jika kredensial muncul dalam kebocoran data.

AI memang dapat membantu dalam banyak kata sandi, tetapi tidak untuk membuat kata sandi. Pola dan prediktabilitas kata sandi yang dibuat LLM membuatnya rentan terhadap peretasan. Sebaiknya gunakan pengelola kata sandi yang bereputasi baik sebagai garis pertahanan pertama terhadap ancaman siber. Kata sandi yang kuat dan unik untuk setiap akun sangat penting di era banyaknya pelanggaran data ini.