Waspadai Resiko Pembuatan Kata Sandi lewat AI

"Kedua model ini suka menghasilkan kata sandi 'password' P@ssw0rd, P@ssw0rd!23 (DeepSeek), P@ssw0rd1, P@ssw0rdV (Llama). Tak perlu dikatakan lagi, kata sandi seperti itu tidak aman,” imbuh Antonov.

Trik mengganti huruf sudah diketahui dan tidak sulit untuk 'dilakukan dengan upaya ‘brute force’.

ChatGPT tidak mengalami masalah ini dan menghasilkan kata sandi yang tampak acak. Misalnya:

• qLUx@^9Wp#YZ
• LU#@^9WpYqxZ
• YLU@x#Wp9q^Z
• YLp^9W#qX@zv
• P@zq^XWLY#v9
• v#@LqYXW^9pz
• X@9pYWq^#Lzv

Namun, jika diperhatikan dengan seksama, Anda dapat melihat pola. Misalnya, angka 9 sering ditemukan.

Untuk Llama, situasinya sedikit lebih baik: Llama menyukai simbol #, huruf p, l, L.

Selain itu, algoritme sering kali mengabaikan penyisipan karakter khusus atau digit ke dalam kata sandi:

• 26 persen kata sandi untuk ChatGPT,
• 32 persen untuk Llama,
• 29 persen untuk DeepSeek.

Sementara DeepSeek dan Llama terkadang menghasilkan kata sandi yang lebih pendek dari 12 karakter.

Mengetahui ketergantungan ini, penjahat siber dapat secara signifikan mempercepat serangan brute force kata sandi yaitu, daripada mencoba secara berurutan "aaa", "aab", "aac", "aba", "abb", "abc", dan seterusnya.

Mereka dapat memulai dengan kombinasi yang lebih sering.

Baca Juga: LuarKampus Sabet Gelar Startup Terbaik di NextDev 2025, Platform AI Bantu Raih Beasiswa Impian

Pada tahun 2024, Antonov mengembangkan algoritme pembelajaran mesin untuk menguji kekuatan kata sandi.

Dia menemukan bahwa hampir 60 persen kata sandi dapat dipecahkan dalam waktu kurang dari satu jam menggunakan GPU modern atau alat pembobolan berbasis cloud.

Ketika diterapkan pada kata sandi yang dihasilkan AI, hasilnya mengkhawatirkan, kata sandi tersebut jauh kurang aman daripada yang terlihat.

Sebanyak 88 persen kata sandi yang dihasilkan DeepSeek dan 87 persen kata sandi yang dihasilkan Llama tidak cukup kuat untuk menahan serangan dari penjahat siber yang canggih.

Sementara ChatGPT sedikit lebih baik dengan 33 persen kata sandi tidak cukup kuat untuk lulus uji Kaspersky.

“Masalahnya adalah LLM tidak menciptakan keacakan yang sebenarnya. Sebaliknya, mereka meniru pola dari data yang ada, membuat hasilnya dapat diprediksi oleh penyerang yang memahami cara kerja model ini," jelas Antonov.