Waspada! Kata Sandi Saran dari ChatGPT, DeepSeek & Llama Rentan Dibobol
07 May 2025 |
20:30 WIB
Desyinta Nuraini
Jurnalis Hypeabis.id
Risiko peretasan kata sandi yang dibuat untuk mengakses layanan dan aplikasi cukup tinggi. Potensi ini bisa terjadi terutama bagi pengguna yang mengelola kata sandinya dengan buruk, diperparah ketergantungan pada kombinasi umum nama, kata kamus, dan angka.
Tidak dimungkiri, banyak masyarakat menggunakan satu kata sandi untuk banyak layanan atau aplikasi. Tidak sedikit pula pengguna tergoda untuk menggunakan model bahasa besar (LLM) seperti ChatGPT, Llama, atau DeepSeek guna membuat kata sandi yang unik dan acak demi mengatasi kerentanan yang dapat ditimbulkan.
Kendati demikian, kata sandi yang dihasilkan AI mungkin tidak seaman yang terlihat. Alexey Antonov, Kepala Tim Ilmu Data Kaspersky, lantas melakukan pengujian dengan membuat 1.000 kata sandi menggunakan beberapa LLM yang lebih terkemuka dan terpercaya termasuk ChatGPT (dari OpenAI), Llama (model dari grup Meta), DeepSeek (pendatang baru dari Tiongkok).
“(Hasilnya), semua model menyadari bahwa kata sandi yang baik terdiri dari setidaknya 12 karakter, termasuk huruf besar dan kecil, angka, dan simbol,” ujar Antonov, dikutip Hypeabis.id, Rabu (7/5/2025).
Baca juga: Waspada! Hampir 10 Miliar Kata Sandi Bocor, Segera Lakukan Ini
Dia menjelaskan, DeepSeek dan Llama terkadang menghasilkan kata sandi yang terdiri dari kata-kata kamus. Kedua model ini suka menghasilkan kata sandi "password" menjadi P@ssw0rd, P@ssw0rd!23 (DeepSeek), dan P@ssw0rd1, P@ssw0rdV (Llama). Tentu kata sandi seperti ini tidak aman.
Trik mengganti huruf katanya juga sudah diketahui para penjahat siber. Kaspersky menemukan pola penggunaan angka 9 yang sering digunakan dalam pembuatan kata sandi, terutama yang dibuat AI.
Sementara itu, dalam 1.000 kata sandi yang dihasilkan untuk ChatGPT, terlihat jelas bahwa hampir semua kata sandi mengandung simbol x, p, l, dan L. Adapun pada Llama, simbol #, huruf p, l, dan L, yang lebih banyak ditemukan.
DeepSeek menunjukkan kecenderungan serupa. Ditemukan banyak simbol t, w, q, dan k pada generator AI ini. “Generator acak yang ideal tidak akan menyukai huruf apa pun. Semua simbol harus muncul dengan jumlah yang hampir sama,” jelas Antonov.
Selain itu, algoritma sering kali mengabaikan penyisipan karakter khusus atau digit ke dalam kata sandi, yakni 26 persen kata sandi untuk ChatGPT, 32 persen untuk Llama, dan 29 persen untuk DeepSeek. Sementara DeepSeek dan Llama terkadang menghasilkan kata sandi yang lebih pendek dari 12 karakter.
Mengetahui ketergantungan ini, penjahat siber dapat secara signifikan mempercepat serangan brute force kata sandi, yaitu, daripada mencoba secara berurutan "aaa", "aab", "aac", .. "aba", "abb", "abc", ... "zzz", mereka dapat memulai dengan kombinasi yang lebih sering. Brute force adalah metode peretasan yang menggunakan pendekatan trial and error untuk mendapatkan akses ke akun, kredensial login, atau kunci enkripsi.
Dari pengembangan algoritma pembelajaran mesin untuk menguji kekuatan kata sandi yang dilakukan Antonov, ditemukan bahwa hampir 60 persen kata sandi dapat dipecahkan dalam waktu kurang dari satu jam menggunakan GPU modern atau alat pembobolan berbasis cloud. Ketika diterapkan pada kata sandi yang dihasilkan AI, kata sandi tersebut jauh kurang aman daripada yang terlihat.
Dia menjabarkan 88 persen kata sandi yang dihasilkan DeepSeek dan 87 persen kata sandi yang dihasilkan Llama tidak cukup kuat untuk menahan serangan dari penjahat siber yang canggih. Sementara ChatGPT sedikit lebih baik dengan 33 persen kata sandi tidak cukup kuat untuk lulus uji Kaspersky.
“Masalahnya adalah LLM tidak menciptakan keacakan yang sebenarnya. Sebaliknya, mereka meniru pola dari data yang ada, membuat hasilnya dapat diprediksi oleh penyerang yang memahami cara kerja model ini,” jelas Antonov.
Meskipun AI dapat membantu banyak tugas, menurutnya pembuatan kata sandi bukanlah salah satunya. Pola dan prediktabilitas kata sandi yang dibuat LLM membuatnya rentan terhadap peretasan.
Oleh karena itu, dia meminta agar masyarakat mengelola kata sandi yang bereputasi baik sebagai garis pertahanan pertama terhadap ancaman dunia maya. “Di era di mana pelanggaran data merajalela, kata sandi yang kuat dan unik untuk setiap akun tidak dapat dinegosiasikan,” tegasnya.
Selain itu, semua kredensial disimpan dalam brankas yang aman, dan dilindungi oleh satu kata sandi utama. Hal ini menghilangkan kebutuhan untuk mengingat ratusan kata sandi, sekaligus menjaganya tetap aman dari pelanggaran.
Pengelola kata sandi juga menyediakan pengisian otomatis dan sinkronisasi di seluruh perangkat, menyederhanakan proses masuk tanpa mengorbankan keamanan. Banyak juga yang menyertakan pemantauan pelanggaran, memberi tahu pengguna jika kredensial mereka muncul dalam kebocoran data.
Baca juga: Ketahui Penyebab & Cara Mencegah Kebobolan Kata Sandi
(Baca artikel Hypeabis.id lainnya di Google News)
Tidak dimungkiri, banyak masyarakat menggunakan satu kata sandi untuk banyak layanan atau aplikasi. Tidak sedikit pula pengguna tergoda untuk menggunakan model bahasa besar (LLM) seperti ChatGPT, Llama, atau DeepSeek guna membuat kata sandi yang unik dan acak demi mengatasi kerentanan yang dapat ditimbulkan.
Kendati demikian, kata sandi yang dihasilkan AI mungkin tidak seaman yang terlihat. Alexey Antonov, Kepala Tim Ilmu Data Kaspersky, lantas melakukan pengujian dengan membuat 1.000 kata sandi menggunakan beberapa LLM yang lebih terkemuka dan terpercaya termasuk ChatGPT (dari OpenAI), Llama (model dari grup Meta), DeepSeek (pendatang baru dari Tiongkok).
“(Hasilnya), semua model menyadari bahwa kata sandi yang baik terdiri dari setidaknya 12 karakter, termasuk huruf besar dan kecil, angka, dan simbol,” ujar Antonov, dikutip Hypeabis.id, Rabu (7/5/2025).
Baca juga: Waspada! Hampir 10 Miliar Kata Sandi Bocor, Segera Lakukan Ini
Dia menjelaskan, DeepSeek dan Llama terkadang menghasilkan kata sandi yang terdiri dari kata-kata kamus. Kedua model ini suka menghasilkan kata sandi "password" menjadi P@ssw0rd, P@ssw0rd!23 (DeepSeek), dan P@ssw0rd1, P@ssw0rdV (Llama). Tentu kata sandi seperti ini tidak aman.
Trik mengganti huruf katanya juga sudah diketahui para penjahat siber. Kaspersky menemukan pola penggunaan angka 9 yang sering digunakan dalam pembuatan kata sandi, terutama yang dibuat AI.
Sementara itu, dalam 1.000 kata sandi yang dihasilkan untuk ChatGPT, terlihat jelas bahwa hampir semua kata sandi mengandung simbol x, p, l, dan L. Adapun pada Llama, simbol #, huruf p, l, dan L, yang lebih banyak ditemukan.
DeepSeek menunjukkan kecenderungan serupa. Ditemukan banyak simbol t, w, q, dan k pada generator AI ini. “Generator acak yang ideal tidak akan menyukai huruf apa pun. Semua simbol harus muncul dengan jumlah yang hampir sama,” jelas Antonov.
Selain itu, algoritma sering kali mengabaikan penyisipan karakter khusus atau digit ke dalam kata sandi, yakni 26 persen kata sandi untuk ChatGPT, 32 persen untuk Llama, dan 29 persen untuk DeepSeek. Sementara DeepSeek dan Llama terkadang menghasilkan kata sandi yang lebih pendek dari 12 karakter.
Mengetahui ketergantungan ini, penjahat siber dapat secara signifikan mempercepat serangan brute force kata sandi, yaitu, daripada mencoba secara berurutan "aaa", "aab", "aac", .. "aba", "abb", "abc", ... "zzz", mereka dapat memulai dengan kombinasi yang lebih sering. Brute force adalah metode peretasan yang menggunakan pendekatan trial and error untuk mendapatkan akses ke akun, kredensial login, atau kunci enkripsi.
Dari pengembangan algoritma pembelajaran mesin untuk menguji kekuatan kata sandi yang dilakukan Antonov, ditemukan bahwa hampir 60 persen kata sandi dapat dipecahkan dalam waktu kurang dari satu jam menggunakan GPU modern atau alat pembobolan berbasis cloud. Ketika diterapkan pada kata sandi yang dihasilkan AI, kata sandi tersebut jauh kurang aman daripada yang terlihat.
Dia menjabarkan 88 persen kata sandi yang dihasilkan DeepSeek dan 87 persen kata sandi yang dihasilkan Llama tidak cukup kuat untuk menahan serangan dari penjahat siber yang canggih. Sementara ChatGPT sedikit lebih baik dengan 33 persen kata sandi tidak cukup kuat untuk lulus uji Kaspersky.
“Masalahnya adalah LLM tidak menciptakan keacakan yang sebenarnya. Sebaliknya, mereka meniru pola dari data yang ada, membuat hasilnya dapat diprediksi oleh penyerang yang memahami cara kerja model ini,” jelas Antonov.
Meskipun AI dapat membantu banyak tugas, menurutnya pembuatan kata sandi bukanlah salah satunya. Pola dan prediktabilitas kata sandi yang dibuat LLM membuatnya rentan terhadap peretasan.
Oleh karena itu, dia meminta agar masyarakat mengelola kata sandi yang bereputasi baik sebagai garis pertahanan pertama terhadap ancaman dunia maya. “Di era di mana pelanggaran data merajalela, kata sandi yang kuat dan unik untuk setiap akun tidak dapat dinegosiasikan,” tegasnya.
Buat Kata Sandi Aman
Alih-alih mengandalkan AI, Antonov menyarankan agar pengguna harus menggunakan perangkat lunak manajemen kata sandi khusu,. Beberapa jenis perangkat lunak ini menggunakan generator yang aman secara kriptografis untuk membuat kata sandi tanpa pola yang dapat dideteksi, memastikan keacakan yang sesungguhnya.Selain itu, semua kredensial disimpan dalam brankas yang aman, dan dilindungi oleh satu kata sandi utama. Hal ini menghilangkan kebutuhan untuk mengingat ratusan kata sandi, sekaligus menjaganya tetap aman dari pelanggaran.
Pengelola kata sandi juga menyediakan pengisian otomatis dan sinkronisasi di seluruh perangkat, menyederhanakan proses masuk tanpa mengorbankan keamanan. Banyak juga yang menyertakan pemantauan pelanggaran, memberi tahu pengguna jika kredensial mereka muncul dalam kebocoran data.
Baca juga: Ketahui Penyebab & Cara Mencegah Kebobolan Kata Sandi
(Baca artikel Hypeabis.id lainnya di Google News)
Komentar
Silahkan Login terlebih dahulu untuk meninggalkan komentar.