Jangan Sekali-kali Buat Kata Sandi Menggunakan ChatGPT!

Pengguna didesak untuk membuat kata sandi yang unik dan acak demi mengatasi kerentanan yang dapat ditimbulkan oleh penggunaan kata sandi yang sama beberapa kali. Namun, pembuatan dan pengelolaan kata sandi dapat menjadi tugas yang sulit. 

Untuk mengatasi beban pembuatan dan pengelolaan kata sandi, pengguna mungkin tergoda untuk menggunakan model bahasa besar (LLM) seperti ChatGPT, Llama, atau DeepSeek untuk membuat kata sandi mereka.

Daya tariknya jelas. Alih-alih bersusah payah membuat kata sandi yang kuat, pengguna cukup meminta AI membuat kata sandi yang aman dan langsung mendapatkan hasil. 

Kecerdasan buatan menghasilkan rangkaian kata sandi yang tampak acak, sulit diprediksi dan berbasis kamus. Namun, tampilannya bisa menipu, di mana kata sandi yang dihasilkan mungkin tidak seaman yang terlihat.

Alexey Antonov, Kepala Tim Ilmu Data (Data Science Team Lead) di Kaspersky, menguji hal ini dengan membuat 1.000 kata sandi menggunakan beberapa LLM yang lebih terkemuka dan terpercaya termasuk ChatGPT (dari OpenAI), Llama (model dari grup Meta) sampai DeepSeek (pendatang baru dari Tiongkok). 

"Semua model menyadari bahwa kata sandi yang baik terdiri dari setidaknya 12 karakter, termasuk huruf besar dan kecil, angka, dan simbol. Mereka melaporkan hal ini saat membuat kata sandi," kata Antonov dikutip dari keterangannya.

DeepSeek dan Llama terkadang menghasilkan kata sandi yang terdiri dari kata-kata kamus, yang di dalamnya, alih-alih beberapa huruf, terdapat angka dengan bentuk yang sama, di antaranya:

• S@d0w12.
• M@n@go3.
• B@n@n@7 (DeepSeek).
• K5yB0a8dS8.
• S1mP1eL1on (Lllama). 

Kedua model ini suka menghasilkan kata sandi "password" yakni P@ssw0rd, P@ssw0rd!23 (DeepSeek) dan P@ssw0rd1, P@ssw0rdV (Llama). Padahal kata sandi seperti itu tidak aman. 

Trik mengganti huruf sudah diketahui dan tidak sulit untuk dilakukan dengan ‘brute force’. ChatGPT tidak mengalami masalah ini dan menghasilkan kata sandi yang tampak acak, misalnya:

• qLUx@^9Wp#YZ.
• LU#@^9WpYqxZ.
• YLU@x#Wp9q^Z.
• YLp^9W#qX@zv.
• P@zq^XWLY#v9.
• v#@LqYXW^9pz.
• X@9pYWq^#Lzv.

Namun, jika memperhatikan dengan saksama, kamu dapat melihat pola. Misalnya, angka 9 yang sering ditemukan.

Berdasarkan histogram semua simbol dalam 1000 kata sandi yang dihasilkan untuk ChatGPT, terlihat jelas bahwa hampir semua kata sandi mengandung simbol x, p, l, L.

Untuk Llama, situasinya sedikit lebih baik, di mana mereka dominan menggunakan simbol #, huruf p, l, L. Begitupun dengan Deepseek.

Generator acak yang ideal tidak akan menyukai huruf apa pun. Semua simbol harus muncul dengan jumlah yang hampir sama.

Selain itu, algoritme sering kali mengabaikan penyisipan karakter khusus atau digit ke dalam kata sandi. Sementara DeepSeek dan Llama terkadang menghasilkan kata sandi yang lebih pendek dari 12 karakter.

Mengetahui ketergantungan ini, penjahat siber dapat secara signifikan mempercepat serangan brute force kata sandi, daripada mencoba secara berurutan.

Pada tahun 2024, Antonov mengembangkan algoritme pembelajaran mesin untuk menguji kekuatan kata sandi dan menemukan bahwa hampir 60 persen kata sandi dapat dipecahkan dalam waktu kurang dari satu jam menggunakan GPU modern atau alat pembobolan berbasis cloud.

Ketika diterapkan pada kata sandi yang dihasilkan AI, hasilnya mengkhawatirkan, kata sandi tersebut jauh kurang aman daripada yang terlihat di mana 88 persen kata sandi yang dihasilkan DeepSeek dan 87 persen Llama tidak cukup kuat untuk menahan serangan dari penjahat siber yang canggih. Sementara ChatGPT sedikit lebih baik dengan 33 persen kata sandi tidak cukup kuat untuk lulus uji Kaspersky.

“Masalahnya adalah LLM tidak menciptakan keacakan yang sebenarnya. Sebaliknya, mereka meniru pola dari data yang ada, membuat hasilnya dapat diprediksi oleh penyerang yang memahami cara kerja model ini," catat Antonov.

Alih-alih mengandalkan AI, pengguna harus menggunakan perangkat lunak manajemen kata sandi khusus, seperti Kaspersky Password Manager. Alat-alat ini menawarkan beberapa keuntungan utama.

1. Jenis perangkat lunak ini menggunakan generator yang aman secara kriptografis untuk membuat kata sandi tanpa pola yang dapat dideteksi, memastikan keacakan yang sesungguhnya.
2. Semua kredensial disimpan dalam brankas yang aman, dilindungi oleh satu kata sandi utama. Ini menghilangkan kebutuhan untuk mengingat ratusan kata sandi sekaligus menjaganya tetap aman dari pelanggaran.
3. Pengelola kata sandi menyediakan pengisian otomatis dan sinkronisasi di seluruh perangkat, menyederhanakan proses masuk tanpa mengorbankan keamanan.
4. Banyak juga yang menyertakan pemantauan pelanggaran, memberi tahu pengguna jika kredensial mereka muncul dalam kebocoran data.

Meskipun AI dapat membantu banyak tugas, pembuatan kata sandi bukanlah salah satunya. Pola dan prediktabilitas kata sandi yang dibuat LLM membuatnya rentan terhadap peretasan. 

Alih-alih mengambil jalan pintas, berinvestasilah pada pengelola kata sandi yang bereputasi baik, garis pertahanan pertama terhadap ancaman dunia maya. Di era di mana pelanggaran data merajalela, kata sandi yang kuat dan unik untuk setiap akun tidak dapat dinegosiasikan.