Berdasarkan analisis 231 juta kata sandi unik dalam kebocoran kata sandi besar dari tahun 2023 hingga 2026, para ahli Kaspersky menemukan beberapa temuan kunci.
Pertama, 68% kata sandi modern dapat diretas dalam sehari. Kedua, ternyata sebagian besar kata sandi yang diretas dimulai atau diakhiri dengan angka – pola umum yang membuatnya berpotensi menghadapi serangan brute force. Ketiga, pengguna juga lebih menyukai kata-kata positif dan yang sedang tren; misalnya, selama beberapa tahun terakhir, penggunaan kata “Skibidi” dalam kata sandi yang dianalisis meningkat 36 kali lipat, mencerminkan peningkatan tren internet tersebut.
Dalam beberapa tahun terakhir, aturan kata sandi yang aman telah menjadi topik pembahasan. Semakin banyak layanan sekarang menuntut kata sandi yang setidaknya sepanjang 10 karakter, menyertakan huruf kapital, dan berisi angka atau simbol. Namun analisis komparatif kebocoran kata sandi dari beberapa tahun terakhir menunjukkan bahwa bahkan mengikuti beberapa aturan tersebut tidak menjamin ketahanan terhadap serangan brute force atau serangan berbasis AI.
Para ahli Kaspersky membagikan saran praktis tentang cara membuat kata sandi yang lebih kompleks dan aman, serta cara menghindari kesalahan umum.
1.Bersikaplah kreatif dalam menggunakan simbol dan angka.
Di antara kata sandi yang bocor yang hanya berisi satu simbol, tanda “@” menduduki peringkat teratas, muncul dalam 10% kasus. Simbol yang paling umum berikutnya adalah titik (.), ditemukan dalam 3% kata sandi.
Angka juga mengikuti pola yang dapat diprediksi serupa:
• 53% dari kata sandi yang diperiksa diakhiri dengan angka
• 17% diawali dengan angka
• Hampir 12% menyertakan urutan angka yang menyerupai tanggal (dari 1950 hingga 2030)
• 3% dari kata sandi yang bocor menyertakan urutan keyboard seperti “qwerty” atau “ytrewq”, tetapi sebagian besar adalah urutan digital seperti “1234”
Alexey Antonov, Data Science Team Lead di Kaspersky, mencatat bahwa simbol, angka, atau tanggal yang umum digunakan – terutama ketika ditempatkan pada posisi yang jelas (seperti di awal atau akhir kata sandi) – secara signifikan memudahkan serangan brute force bagi pelaku kejahatan siber. Itulah mengapa sangat disarankan untuk lebih memilih karakter yang kurang populer, dan menghindari urutan angka atau keyboard.
“Bruteforce bekerja secara sistematis mencoba setiap kemungkinan kombinasi karakter hingga kata sandi yang benar ditemukan. Ketika penyerang sudah mengetahui karakter mana yang cenderung disukai pengguna, waktu untuk meretas kata sandi akan berkurang drastis. Demi menghindari memilih simbol yang mudah ditebak, percayakan pembuatan kata sandi kepada generator khusus yang menghasilkan huruf, angka, dan simbol acak dengan probabilitas yang sama,” kata Alexey.
2. Cobalah untuk menghindari penggunaan kata-kata dalam kata sandi
Penelitian Kaspersky menunjukkan bahwa kata-kata emosional dan yang sedang tren kerap menjadi dasar kata sandi. Misalnya, dari tahun 2023 hingga 2026 penggunaan kata “Skibidi” dalam kata sandi meningkat 36 kali lipat – mencerminkan peningkatan pesat tren internet tersebut.
Para ahli Kaspersky juga telah melakukan analisis tentang kemunculan kata-kata positif dan negatif dalam kata sandi, dan ternyata ada lebih banyak kata-kata positif. Di antara kata-kata yang sering muncul adalah kata-kata positif seperti “love”, “magic”, “friend”, “team”, “angel”, dan “star”, “eden”. Menariknya, kata-kata positif jauh lebih umum daripada kata-kata negatif. Namun, kata-kata seperti “hell”, “devil”, “nightmare”, dan “scar” juga muncul.
“Menggunakan kata sandi satu kata, bahkan dengan angka atau karakter khusus di belakangnya, adalah pilihan yang lemah. Polanya terlalu mudah ditebak, sehingga mudah diterka oleh penyerang. Sebaliknya, buatlah frasa sandi yang menggabungkan beberapa kata yang tidak berhubungan, masing-masing dilengkapi dengan angka dan simbol di dalamnya, dan tambahkan beberapa kesalahan ejaan yang disengaja. Semakin panjang, acak, dan tidak terduga kata sandinya, semakin sulit untuk diretas. Sebagai cara tambahan untuk melindungi diri Anda, aktifkan otentikasi dua faktor (2FA) di mana pun memungkinkan,” saran Alexey Antonov.
Apakah panjang kata sandi penting?
Sudah diketahui bahwa kata sandi yang lebih panjang lebih sulit diretas, dan analisis kata sandi yang bocor mengkonfirmasi prinsip ini. Namun, dengan meningkatnya alat berbasis AI, panjang saja tidak lagi menjamin keamanan: bahkan kata sandi panjang pun dapat diretas jika mengikuti pola yang dapat diprediksi.
Penelitian menunjukkan bahwa kata sandi pendek hingga delapan karakter yang muncul dalam kebocoran biasanya diretas oleh serangan brute force dalam waktu kurang dari sehari. Namun, berkat algoritma cerdas bertenaga AI, lebih dari 20% kata sandi 15 karakter dapat diretas dalam waktu kurang dari satu menit.
Bagaimana panjang kata sandi memengaruhi tingkat peretasan: hasil berdasarkan satu GPU 5090 dan algoritma MD5.
Terlebih lagi, 60,2% dari semua kata sandi yang dianalisis – terlepas dari panjangnya – dapat diretas dalam waktu sekitar satu jam; 68,2% – dalam sehari.
Dalam contoh yang diberikan, perhitungan mengasumsikan satu GPU RTX5090 dan algoritma MD5. Dalam skenario dunia nyata, penyerang dapat menyewa beberapa GPU – sepuluh, seratus, atau bahkan lebih. Dalam kondisi seperti itu, tingkat peretasan berpotensi meningkat beberapa kali lipat.
Dalam istilah modern, kata sandi yang benar-benar aman tidak hanya memenuhi standar emas 16+ karakter, tetapi juga terdiri dari huruf, angka, dan simbol acak yang tidak berulang, dan unik untuk setiap akun. Untuk membantu pengguna membuat kata sandi seperti itu, Kaspersky telah menambahkan fitur pembuatan kata sandi ke situs web Kaspersky Password Generator. Sekarang pengguna tidak hanya dapat memeriksa kebocoran kata sandi mereka, tetapi juga membuat kata sandi yang aman secara gratis.
