JAKARTA - Jika Anda kerap kali kebingungan membuat kata sandi yang kuat, meminta chatbot kecerdasan buatan (AI) untuk membuat kata sandi Anda tampaknya bukan hal yang tepat.
Temuan terbaru dari Kaspersky menunjukkan bahwa sebagian besar kata sandi yang dihasilkan oleh model bahasa besar (LLM) ini masih rentan terhadap serangan siber.
Kepala Tim Ilmu Data (Data Science Team Lead) di Kaspersky, Alexey Antonov, menguji hal ini dengan membuat 1.000 kata sandi menggunakan beberapa LLM yang lebih terkemuka dan terpercaya termasuk ChatGPT (dari OpenAI), Llama (dari Meta), DeepSeek (dari China).
“Semua model menyadari bahwa kata sandi yang baik terdiri dari setidaknya 12 karakter, termasuk huruf besar dan kecil, angka, dan simbol. Mereka melaporkan hal ini saat membuat kata sandi," kata Antonov.
Berdasarkan uji coba itu, Antonov menemukan bahwa DeepSeek dan Llama terkadang menghasilkan kata sandi yang terdiri dari kata-kata kamus, yang di dalamnya terdapat gabungan huruf, simbol, dan angka yang sama, seperti: (DeepSeek) S@d0w12, M@n@go3, B@n@n@7, dan K5yB0a8dS8, S1mP1eL1on (Lllama).
Di sisi lain, ChatGPT tidak mengalami masalah ini dan menghasilkan kata sandi yang tampak acak. Misalnya: qLUx@^9Wp#YZ, LU#@^9WpYqxZ, atau YLU@x#Wp9q^Z.
Dari temuan ini, 88% kata sandi dari DeepSeek dan 87% dari Llama tidak cukup kuat untuk menahan serangan brute force dari peretas canggih. Sedangkan ChatGPT menunjukkan hasil lebih baik, namun tetap mencatatkan 33% kata sandi yang gagal melewati uji keamanan Kaspersky.
BACA JUGA:
“Masalahnya adalah LLM tidak menciptakan keacakan yang sebenarnya. Sebaliknya, mereka meniru pola dari data yang ada, membuat hasilnya dapat diprediksi oleh penyerang yang memahami cara kerja model ini,” catat Antonov.
Alih-alih menggunakan AI, Antonov merekomendasikan penggunaan manajer kata sandi khusus, yang menggunakan generator acak yang aman secara kriptografis dan menyimpan kredensial dalam brankas digital yang dilindungi satu kata sandi utama.
Beberapa pengelola kata sandi juga menyediakan pengisian otomatis dan sinkronisasi di seluruh perangkat, menyederhanakan proses, menyertakan pemantauan pelanggaran, memberi tahu pengguna jika kredensial mereka muncul dalam kebocoran data.
