Temuan terbaru perusahaan keamanan siber Kaspersky menunjukkan lemahnya kebiasaan pengguna dalam membuat kata sandi masih menjadi celah besar bagi pelaku kejahatan siber. Dari analisis terhadap 231 juta kata sandi unik yang bocor sepanjang periode 2023 hingga 2026, sebanyak 68% kata sandi modern diketahui dapat diretas hanya dalam waktu satu hari.
Riset tersebut juga menemukan pola umum yang justru mempermudah serangan brute force. Mayoritas kata sandi yang bocor diketahui diawali atau diakhiri dengan angka, sementara banyak pengguna masih memakai kombinasi karakter yang mudah ditebak.
Dalam analisisnya, Kaspersky mengungkapkan bahwa 53% kata sandi yang diperiksa diakhiri angka, sementara 17% lainnya diawali angka. Sekitar 12% kata sandi bahkan menggunakan urutan angka menyerupai tanggal antara 1950 hingga 2030. Selain itu, 3% kata sandi memanfaatkan pola keyboard seperti “qwerty”, “ytrewq”, atau deretan angka sederhana seperti “1234”.
Data Science Team Lead Kaspersky, Alexey Antonov, mengatakan pola penggunaan simbol dan angka yang terlalu umum membuat kata sandi jauh lebih mudah ditembus.
“Bruteforce bekerja secara sistematis mencoba setiap kemungkinan kombinasi karakter hingga kata sandi yang benar ditemukan. Ketika penyerang sudah mengetahui karakter mana yang cenderung disukai pengguna, waktu untuk meretas kata sandi akan berkurang drastis. Demi menghindari memilih simbol yang mudah ditebak, percayakan pembuatan kata sandi kepada generator khusus yang menghasilkan huruf, angka, dan simbol acak dengan probabilitas yang sama,” ujar Alexey.
Kaspersky juga menemukan bahwa pengguna cenderung memakai kata-kata populer dan bernada positif sebagai dasar kata sandi. Kata seperti “love”, “magic”, “friend”, “angel”, hingga “star” muncul cukup dominan dalam kebocoran data yang dianalisis. Sementara itu, tren internet juga ikut memengaruhi perilaku pengguna. Penggunaan kata “Skibidi” dalam kata sandi tercatat melonjak hingga 36 kali lipat sepanjang 2023 hingga 2026.
Meski demikian, sejumlah kata bernuansa negatif seperti “hell”, “devil”, “nightmare”, dan “scar” juga ditemukan dalam database kata sandi yang bocor.
Menurut Alexey, penggunaan satu kata sederhana yang dikombinasikan dengan angka atau simbol tetap tidak cukup aman untuk melindungi akun digital.
“Menggunakan kata sandi satu kata, bahkan dengan angka atau karakter khusus di belakangnya, adalah pilihan yang lemah. Polanya terlalu mudah ditebak, sehingga mudah diterka oleh penyerang. Sebaliknya, buatlah frasa sandi yang menggabungkan beberapa kata yang tidak berhubungan, masing-masing dilengkapi dengan angka dan simbol di dalamnya, dan tambahkan beberapa kesalahan ejaan yang disengaja. Semakin panjang, acak, dan tidak terduga kata sandinya, semakin sulit untuk diretas. Sebagai cara tambahan untuk melindungi diri Anda, aktifkan otentikasi dua faktor (2FA) di mana pun memungkinkan,” jelasnya.
Penelitian tersebut juga menyoroti bahwa panjang kata sandi kini bukan lagi jaminan utama keamanan di era kecerdasan buatan. Kata sandi pendek dengan delapan karakter umumnya dapat diretas kurang dari sehari. Namun yang mengejutkan, lebih dari 20% kata sandi sepanjang 15 karakter pun dapat dibobol dalam waktu kurang dari satu menit menggunakan algoritma berbasis AI.
Secara keseluruhan, sekitar 60,2% kata sandi yang dianalisis mampu diretas dalam waktu satu jam, sedangkan 68,2% lainnya dapat ditembus dalam sehari. Simulasi itu menggunakan satu GPU RTX5090 dengan algoritma MD5. Dalam praktiknya, penjahat siber bahkan dapat menyewa puluhan hingga ratusan GPU sekaligus untuk mempercepat proses pembobolan.
Kaspersky menilai kata sandi yang benar-benar aman saat ini setidaknya harus memiliki lebih dari 16 karakter dengan kombinasi huruf, angka, dan simbol acak yang unik untuk setiap akun. Untuk mendukung hal tersebut, perusahaan menambahkan fitur pembuat kata sandi di layanan Kaspersky Password Generator agar pengguna dapat membuat kata sandi aman secara gratis.
Selain itu, perusahaan juga mendorong penggunaan pengelola kata sandi untuk memudahkan penyimpanan kredensial secara aman, termasuk sinkronisasi lintas perangkat dan dukungan teknologi passkey guna meningkatkan keamanan akses digital pengguna.
