RADARBONANG.ID - Password adalah garis pertahanan pertama dalam melindungi akun digital, namun panduan terbaru dari para ahli keamanan siber justru menyarankan jangan menggunakan password hasil dari kecerdasan buatan (AI) — ini bukan sekadar saran ringan, tetapi berdasar pada riset nyata yang mengungkap kelemahan mendasar pada password yang dibuat oleh model AI besar seperti Claude, ChatGPT, dan Gemini.
Perusahaan keamanan siber Irregular baru-baru ini melakukan analisis terhadap kemampuan model bahasa besar (large language models/LLM) dalam menghasilkan password.
Fokusnya adalah melihat apakah password yang ditawarkan AI benar-benar kuat secara statistik atau sekadar “terlihat kompleks” dari luar. Hasilnya mengejutkan banyak pihak.
AI Ternyata Tidak Menghasilkan Randomitas Sejati
Irregular meminta beberapa model AI untuk membuat password enam karakter dengan kombinasi huruf, angka, dan simbol.
Secara sekilas, hasilnya memang tampak bagus: kombinasi berbagai karakter yang tampak rumit. Namun di balik itu ternyata terdapat pola yang berulang dan bisa diprediksi.
Misalnya pada percobaan dengan Claude Opus 4.6, dari 50 password yang dihasilkan hanya 30 unik; sisanya merupakan duplikasi, dan di antaranya memiliki struktur yang sangat mirip.
Model AI cenderung menggunakan pola yang sama, seperti selalu memulai dengan huruf tertentu atau preferensi simbol tertentu — sehingga selain tidak benar-benar acak, outputnya memiliki entropi rendah, istilah dalam keamanan siber yang menunjukkan seberapa tidak terduga sebuah password.
Fenomena ini bukan hanya terjadi pada model tertentu. Model lain seperti ChatGPT dan Gemini pun menunjukkan pola serupa: ada karakter favorit yang sering dipakai di awal, struktur tertentu yang konsisten, atau pengulangan karakter yang bisa dipetakan penyerang.
Mengapa Ini Berbahaya?
Dalam ranah keamanan siber, kekuatan sebuah password diukur dari seberapa acak dan tidak dapat diprediksi karakternya.
Password yang benar-benar kuat memiliki entropi tinggi sehingga komputer atau peretas memerlukan waktu sangat lama untuk memecahkannya melalui brute force.
Namun password buatan AI, menurut riset ini, cenderung memiliki entropi rendah karena struktur pola yang diulang, membuatnya lebih rentan terhadap serangan.
Para peneliti keamanan di luar studi Irregular juga memperingatkan hal serupa.
Mereka mencatat bahwa model AI tidak dibangun untuk menghasilkan angka acak secara kripto-aman (CSPRNG — Cryptographically Secure Random Number Generator), melainkan untuk menebak kemungkinan output paling “masuk akal” berdasarkan data pelatihan yang sudah dipelajari.
Karena itu, output AI cenderung mengikuti pola yang mudah dipahami penyerang jika mereka mengetahui cara kerja model tersebut.
Pakar seperti Profesor Kevin Curran dari Ulster University bahkan menjelaskan bahwa password optimal yang aman secara statistik membutuhkan tingkat entropi jauh lebih tinggi dibanding apa yang mampu diproduksi AI saat ini — membuat password AI bisa “diretas dalam hitungan jam” dengan perangkat lunak yang tepat.
Alternatif yang Lebih Aman
Daripada mengandalkan AI untuk membuat password secara langsung, pakar menyarankan sejumlah pendekatan yang jauh lebih aman:
-
Password manager: Aplikasi seperti Bitwarden, 1Password, atau LastPass menggunakan generator kripto-aman untuk menghasilkan password unik yang sulit ditebak, serta menyimpan semuanya dalam vault terenkripsi.
-
Passkey: Ini adalah metode autentikasi modern yang menggabungkan keamanan tinggi tanpa perlu password tradisional. Banyak layanan kini mendukung passkey sebagai alternatif yang lebih aman.
-
Multi-factor authentication (MFA): Menambahkan lapisan verifikasi lain (misalnya biometrik atau kode SMS) dapat secara drastis meningkatkan keamanan akun meskipun password dasar lemah.
Jangan Anggap Remeh Keamanan Password
Saran utama para pakar adalah: jangan gunakan AI generatif seperti ChatGPT, Claude, atau Gemini untuk membuat password penting — terutama untuk layanan yang sensitif seperti email, perbankan, dan akun kerja.
Password yang tampak kompleks bisa memberikan rasa aman semu, padahal di balik layar pola kelihatan bagi penyerang yang memahami cara kerja AI.
Dengan meningkatnya jumlah layanan online dan jumlah akun yang dimiliki tiap orang, penggunaan password unik dan aman menjadi lebih penting daripada sebelumnya.
Menggunakan metode keamanan kelas atas membantu melindungi akun dari kerentanan yang mungkin tidak terlihat oleh pengguna biasa.
Editor : Muhammad Azlan Syah