Jangan Coba-coba Pakai Kata 'Skibidi' untuk Password
Pertama, 68 persen kata sandi modern dapat diretas dalam sehari. Kedua, ternyata sebagian besar kata sandi yang diretas dimulai atau diakhiri dengan angka – pola umum yang membuatnya berpotensi menghadapi serangan brute force. Ketiga, pengguna juga lebih menyukai kata-kata positif dan yang sedang tren.
Misalnya, selama beberapa tahun terakhir, penggunaan kata "Skibidi" dalam kata sandi yang dianalisis meningkat 36 kali lipat, mencerminkan peningkatan tren internet tersebut.
Dalam beberapa tahun terakhir, aturan kata sandi yang aman telah menjadi topik pembahasan. Semakin banyak layanan sekarang menuntut kata sandi yang setidaknya sepanjang 10 karakter, menyertakan huruf kapital, dan berisi angka atau simbol.
Namun, analisis komparatif kebocoran kata sandi dari beberapa tahun terakhir menunjukkan bahwa bahkan mengikuti beberapa aturan tersebut tidak menjamin ketahanan terhadap serangan brute force atau serangan berbasis kecerdasan buatan (AI).
Para ahli Kaspersky membagikan saran praktis tentang cara membuat kata sandi yang lebih kompleks dan aman, serta cara menghindari kesalahan umum.
1. Bersikaplah kreatif dalam menggunakan simbol dan angka
Di antara kata sandi yang bocor yang hanya berisi satu simbol, tanda "@" menduduki peringkat teratas, muncul dalam 10% kasus. Simbol yang paling umum berikutnya adalah titik (.), ditemukan dalam 3 persen kata sandi.
Angka juga mengikuti pola yang dapat diprediksi serupa:
• 53 persen dari kata sandi yang diperiksa diakhiri dengan angka
• 17 persen diawali dengan angka
• Hampir 12 persen menyertakan urutan angka yang menyerupai tanggal (dari 1950 hingga 2030)
• 3 persen dari kata sandi yang bocor menyertakan urutan keyboard seperti “qwerty” atau “ytrewq”, tetapi sebagian besar adalah urutan digital seperti “1234”.
Alexey Antonov, Data Science Team Lead di Kaspersky, mencatat bahwa simbol, angka, atau tanggal yang umum digunakan – terutama ketika ditempatkan pada posisi yang jelas (seperti di awal atau akhir kata sandi) – secara signifikan memudahkan serangan brute force bagi pelaku kejahatan siber. Itulah mengapa sangat disarankan untuk lebih memilih karakter yang kurang populer, dan menghindari urutan angka atau keyboard.
“Bruteforce bekerja secara sistematis mencoba setiap kemungkinan kombinasi karakter hingga kata sandi yang benar ditemukan. Ketika penyerang sudah mengetahui karakter mana yang cenderung disukai pengguna, waktu untuk meretas kata sandi akan berkurang drastis. Demi menghindari memilih simbol yang mudah ditebak, percayakan pembuatan kata sandi kepada generator khusus yang menghasilkan huruf, angka, dan simbol acak dengan probabilitas yang sama,” kata Alexey.
2. Cobalah untuk menghindari penggunaan kata-kata dalam kata sandi
Penelitian Kaspersky menunjukkan bahwa kata-kata emosional dan yang sedang tren kerap menjadi dasar kata sandi. Misalnya, dari 2023 hingga 2026 penggunaan kata “Skibidi” dalam kata sandi meningkat 36 kali lipat – mencerminkan peningkatan pesat tren internet tersebut.
Para ahli Kaspersky juga telah melakukan analisis tentang kemunculan kata-kata positif dan negatif dalam kata sandi, dan ternyata ada lebih banyak kata-kata positif.
Di antara kata-kata yang sering muncul adalah kata-kata positif seperti “love”, “magic”, “friend”, “team”, “angel”, dan “star”, “eden”. Menariknya, kata-kata positif jauh lebih umum daripada kata-kata negatif. Namun, kata-kata seperti “hell”, “devil”, “nightmare”, dan “scar” juga muncul.
“Menggunakan kata sandi satu kata, bahkan dengan angka atau karakter khusus di belakangnya, adalah pilihan yang lemah. Polanya terlalu mudah ditebak, sehingga mudah diterka oleh penyerang. Sebaliknya, buatlah frasa sandi yang menggabungkan beberapa kata yang tidak berhubungan, masing-masing dilengkapi dengan angka dan simbol di dalamnya, dan tambahkan beberapa kesalahan ejaan yang disengaja. Semakin panjang, acak, dan tidak terduga kata sandinya, semakin sulit untuk diretas. Sebagai cara tambahan untuk melindungi diri Anda, aktifkan otentikasi dua faktor (2FA) di mana pun memungkinkan,” saran Alexey Antonov.
Apakah panjang kata sandi penting?
Sudah diketahui bahwa kata sandi yang lebih panjang lebih sulit diretas, dan analisis kata sandi yang bocor mengkonfirmasi prinsip ini. Namun, dengan meningkatnya alat berbasis AI, panjang saja tidak lagi menjamin keamanan: bahkan kata sandi panjang pun dapat diretas jika mengikuti pola yang dapat diprediksi.
Penelitian menunjukkan bahwa kata sandi pendek hingga delapan karakter yang muncul dalam kebocoran biasanya diretas oleh serangan brute force dalam waktu kurang dari sehari. Namun, berkat algoritma cerdas bertenaga AI, lebih dari 20 persen kata sandi 15 karakter dapat diretas dalam waktu kurang dari satu menit.
