Berapa banyak kata sandi yang Anda miliki? Bisa jadi lebih banyak dari yang Anda kira. Sebagian besar layanan dan aplikasi daring mengharuskan pengguna untuk membuat kata sandi. Kemungkinan besar banyak dari kata sandi tersebut tidak digunakan setiap hari dan karena jumlahnya yang tidak terhingga, ada kemungkinan besar banyak kata sandi yang digunakan berulang kali.
Pengelolaan kata sandi yang buruk diperparah oleh ketergantungan pada kombinasi umum nama, kata kamus, dan angka. Kata sandi ini tidak hanya relatif mudah diuraikan, tetapi jika membuka jalan bagi penjahat siber memperoleh kata sandi di satu situs, yang memungkinkan membuka akses ke banyak situs lain.
Pengguna didesak untuk membuat kata sandi yang unik dan acak demi mengatasi kerentanan yang dapat ditimbulkan oleh penggunaan kata sandi yang sama beberapa kali. Namun, pembuatan dan pengelolaan kata sandi dapat menjadi tugas yang sulit. Untuk mengatasi beban pembuatan dan pengelolaan kata sandi, orang mungkin tergoda untuk menggunakan model bahasa besar (LLM) seperti ChatGPT, Llama, atau DeepSeek untuk membuat kata sandi mereka.
Daya tariknya jelas. Alih-alih bersusah payah membuat kata sandi yang kuat, pengguna cukup meminta AI, “Buat kata sandi yang aman” dan langsung mendapatkan hasil. AI menghasilkan rangkaian kata sandi yang tampak acak, sulit diprediksi dan berbasis kamus. Namun, tampilannya bisa menipu, kata sandi yang dihasilkan AI mungkin tidak seaman yang terlihat.
Alexey Antonov, Kepala Tim Ilmu Data (Data Science Team Lead) di Kaspersky, menguji hal ini dengan membuat 1.000 kata sandi menggunakan beberapa LLM yang lebih terkemuka dan terpercaya termasuk ChatGPT (dari OpenAI), Llama (model dari grup Meta), DeepSeek (pendatang baru dari Tiongkok). “Semua model menyadari bahwa kata sandi yang baik terdiri dari setidaknya 12 karakter, termasuk huruf besar dan kecil, angka, dan simbol. Mereka melaporkan hal ini saat membuat kata sandi,” kata Antonov.
“DeepSeek dan Llama terkadang menghasilkan kata sandi yang terdiri dari kata-kata kamus, yang di dalamnya, alih-alih beberapa huruf, terdapat angka dengan bentuk yang sama: S@d0w12, M@n@go3, B@n@n@7 (DeepSeek), K5yB0a8dS8, S1mP1eL1on (Lllama). Kedua model ini suka menghasilkan kata sandi “password”: P@ssw0rd, P@ssw0rd!23 (DeepSeek), P@ssw0rd1, P@ssw0rdV (Llama). Tak perlu dikatakan lagi, kata sandi seperti itu tidak aman,” imbuh Antonov. Trik mengganti huruf sudah diketahui dan tidak sulit untuk ‘dilakukan dengan upaya ‘brute force’. ChatGPT tidak mengalami masalah ini dan menghasilkan kata sandi yang tampak acak. Misalnya:
- qLUx@^9Wp#YZ
- LU#@^9WpYqxZ
- YLU@x#Wp9q^Z
- YLp^9W#qX@zv
- P@zq^XWLY#v9
- v#@LqYXW^9pz
- X@9pYWq^#Lzv
Namun, jika Anda perhatikan dengan saksama, Anda dapat melihat pola. Misalnya, angka 9 sering ditemukan.
Berikut ini adalah histogram semua simbol dalam 1000 kata sandi yang dihasilkan untuk ChatGPT – terlihat jelas bahwa hampir semua kata sandi dari 1000 mengandung simbol x, p, l, L ….
Frekuensi karakter yang digunakan dalam kata sandi yang dihasilkan oleh ChatGPT
Ini sama sekali tidak tampak seperti huruf acak.
Untuk Llama, situasinya sedikit lebih baik: Llama menyukai simbol #, huruf p, l, L.
Frekuensi karakter yang digunakan dalam kata sandi yang dihasilkan oleh Llama
DeepSeek menunjukkan kecenderungan serupa:
Frekuensi karakter yang digunakan dalam kata sandi yang dihasilkan oleh DeepSeek
Generator acak yang ideal tidak akan menyukai huruf apa pun. Semua simbol harus muncul dengan jumlah yang hampir sama.
