Laporan Kaspersky Ungkap Kerentanan Keamanan Siber: 68 Persen Kata Sandi Modern Dapat Diretas Hanya dalam Waktu Kurang dari Satu Hari

Perusahaan keamanan siber global, Kaspersky, merilis laporan komprehensif yang menyoroti rapuhnya sistem keamanan digital individu di era modern. Berdasarkan hasil analisis mendalam terhadap 23 juta kata sandi unik yang bocor dan tersebar di platform publik maupun gelap (dark web) selama periode 2023 hingga 2026, ditemukan fakta mengkhawatirkan bahwa sebanyak 68 persen dari kata sandi tersebut dapat ditembus oleh peretas dalam waktu kurang dari 24 jam. Fenomena ini menunjukkan bahwa meskipun kesadaran akan keamanan siber meningkat, metode yang digunakan masyarakat umum dalam menyusun kata sandi masih sangat tertinggal dibandingkan kemajuan teknologi peretasan, terutama yang didukung oleh kecerdasan buatan (AI) dan perangkat keras berkinerja tinggi.

Analisis ini memberikan gambaran yang jelas mengenai pola perilaku pengguna internet global. Salah satu temuan utama adalah dominasi penggunaan angka dalam struktur kata sandi. Kaspersky mencatat bahwa jenis kata sandi yang paling rentan dan paling sering diretas adalah yang menggunakan angka sebagai pembuka atau penutup. Pola ini sangat umum ditemukan karena pengguna cenderung mengandalkan kombinasi sederhana yang mudah diingat, namun sayangnya pola tersebut juga menjadi target utama bagi serangan brute force—sebuah metode di mana peretas mencoba setiap kemungkinan kombinasi karakter secara sistematis hingga menemukan kunci yang tepat.

Evolusi Serangan Brute Force dan Kegagalan Standar Konvensional

Selama bertahun-tahun, berbagai layanan digital telah menetapkan aturan standar untuk pembuatan kata sandi yang aman, seperti mewajibkan minimal 10 karakter, penggunaan huruf kapital, serta penyertaan angka dan simbol. Namun, laporan terbaru ini menegaskan bahwa mengikuti aturan dasar tersebut tidak lagi menjamin ketahanan terhadap serangan siber modern. Penyerang kini menggunakan algoritma smart-guessing yang tidak lagi bekerja secara acak, melainkan berbasis pada probabilitas dan data kebocoran historis.

Data Science Team Lead di Kaspersky, Alexey Antonov, menjelaskan bahwa efektivitas serangan brute force meningkat secara drastis ketika penyerang mengetahui kecenderungan atau preferensi pengguna dalam memilih karakter. "Brute force bekerja secara sistematis mencoba setiap kemungkinan kombinasi karakter hingga kata sandi yang benar ditemukan. Ketika penyerang sudah mengetahui karakter mana yang cenderung disukai pengguna, waktu untuk meretas kata sandi akan berkurang drastis," ujar Antonov.

Kemajuan perangkat keras, khususnya kartu grafis (GPU) modern, memungkinkan peretas untuk melakukan miliaran percobaan per detik. Jika sebuah kata sandi hanya terdiri dari variasi kata kamus yang ditambahkan angka di ujungnya, algoritma peretasan dapat memprediksi pola tersebut dalam hitungan menit, bahkan detik. Analisis komparatif menunjukkan bahwa efisiensi serangan berbasis AI telah memperpendek jendela waktu yang dibutuhkan untuk membobol akun yang sebelumnya dianggap "cukup aman".

Identifikasi Pola Rentan yang Paling Sering Digunakan

Berdasarkan data yang dihimpun, Kaspersky merinci beberapa pola spesifik yang paling banyak ditemukan dalam kasus kebocoran data dan peretasan. Berikut adalah distribusi pola kata sandi yang paling rentan:

1. Diakhiri dengan Angka (53 Persen): Mayoritas pengguna cenderung meletakkan angka di akhir kata sandi sebagai cara untuk memenuhi syarat keamanan situs web. Hal ini menjadikannya pola yang paling mudah diprediksi oleh skrip peretasan otomatis.
2. Diawali dengan Angka (17 Persen): Penggunaan angka di awal kata sandi juga menjadi tren yang signifikan, namun tetap memberikan celah besar bagi peretas.
3. Urutan Angka Menyerupai Tanggal (12 Persen): Penggunaan tahun lahir, tanggal pernikahan, atau tahun berjalan (dalam rentang 1950 hingga 2030) sangat umum ditemukan. Peretas sering kali memasukkan daftar tahun ini ke dalam algoritma mereka sebagai prioritas utama.
4. Urutan Keyboard dan Digital Sederhana (3 Persen): Meskipun persentasenya kecil, pola seperti "1234", "qwerty", atau "ytrewq" masih tetap ada dan merupakan yang paling cepat untuk diretas (instan).

Selain pola angka, penggunaan simbol juga menjadi perhatian. Kaspersky menemukan bahwa pengguna yang mencoba "kreatif" dengan menambahkan simbol sering kali terjebak pada penggunaan satu simbol saja. Tanda "@" menduduki peringkat teratas dengan kontribusi 10 persen dalam kasus kebocoran, diikuti oleh tanda titik (.) sebesar 3 persen. Penggunaan simbol tunggal di posisi yang dapat ditebak (seperti mengganti huruf ‘a’ dengan ‘@’) kini sudah dianggap usang karena algoritma peretas telah memetakan semua kemungkinan substitusi karakter tersebut.

Pengaruh Budaya Populer dan Psikologi Kata Sandi

Salah satu aspek menarik dari penelitian ini adalah bagaimana tren budaya populer dan kondisi emosional pengguna memengaruhi pemilihan kata sandi. Kaspersky mencatat lonjakan penggunaan kata-kata yang sedang viral. Sebagai contoh, penggunaan kata "Skibidi"—sebuah fenomena meme internet—mengalami peningkatan drastis sebanyak 36 kali lipat dalam database kata sandi antara tahun 2023 hingga 2026.

Tim peneliti juga melakukan analisis sentimen terhadap kata sandi dan menemukan bahwa kata-kata bermakna positif jauh lebih sering digunakan daripada kata-kata negatif. Beberapa kata positif yang mendominasi daftar antara lain "love", "magic", "friend", "team", "angel", "star", dan "eden". Di sisi lain, meskipun jumlahnya lebih sedikit, kata-kata bertema gelap atau negatif seperti "hell", "devil", "nightmare", dan "scar" juga kerap muncul.

Alexey Antonov memperingatkan bahwa menggunakan kata sandi satu kata, terlepas dari seberapa unik atau emosionalnya kata tersebut, adalah pilihan yang sangat lemah. "Menggunakan kata sandi satu kata, bahkan dengan angka atau karakter khusus di belakangnya adalah pilihan yang lemah. Polanya terlalu mudah ditebak, sehingga mudah diterka oleh penyerang," jelasnya. Hal ini disebabkan karena peretas menggunakan serangan berbasis kamus (dictionary attacks) yang memuat jutaan kosakata populer dalam berbagai bahasa, termasuk bahasa gaul dan istilah yang sedang tren.

Implikasi Luas Terhadap Keamanan Data Pribadi dan Institusi

Dampak dari lemahnya keamanan kata sandi ini tidak hanya bersifat individual, tetapi juga sistemik. Dalam skala yang lebih luas, peretasan satu akun individu sering kali menjadi pintu masuk bagi serangan yang lebih besar terhadap infrastruktur perusahaan melalui teknik yang dikenal sebagai credential stuffing. Dalam teknik ini, peretas menggunakan kombinasi email dan kata sandi yang bocor dari satu platform untuk mencoba masuk ke platform lain, seperti perbankan, portal kerja, atau email perusahaan.

Fakta bahwa 68 persen kata sandi dapat diretas dalam sehari menunjukkan risiko tinggi terhadap pencurian identitas, kerugian finansial, dan kebocoran data sensitif perusahaan. Di Indonesia, di mana penetrasi internet terus meningkat namun literasi keamanan digital masih bervariasi, temuan ini menjadi peringatan keras bagi penyedia layanan dan pengguna untuk memperketat protokol keamanan mereka.

Pakar keamanan siber menyarankan agar institusi tidak hanya bergantung pada kata sandi statis, tetapi mulai mengadopsi teknologi yang lebih canggih. Banyak perusahaan teknologi besar kini mulai mendorong penggunaan passkeys yang berbasis pada biometrik atau kunci keamanan fisik, yang secara teori jauh lebih sulit untuk dikompromikan dibandingkan kata sandi tradisional.

Rekomendasi Pakar: Menuju Keamanan yang Lebih Tangguh

Menanggapi kerentanan yang masif ini, Kaspersky memberikan serangkaian rekomendasi taktis bagi pengguna internet untuk meningkatkan pertahanan digital mereka. Poin utama yang ditekankan adalah beralih dari konsep "kata sandi" (password) menjadi "frasa sandi" (passphrase).

"Buatlah frasa sandi yang menggabungkan beberapa kata yang tidak berhubungan, masing-masing dilengkapi dengan angka dan simbol di dalamnya, dan tambahkan beberapa kesalahan ejaan yang disengaja. Semakin panjang, acak, dan tidak terduga kata sandinya, semakin sulit diretas," saran Antonov. Sebagai contoh, alih-alih menggunakan "KopiSusu123!", pengguna disarankan menggunakan kombinasi seperti "K0pi_B1ru_Lompat-Jauh88" yang jauh lebih sulit dipetakan oleh algoritma peretasan.

Berikut adalah beberapa langkah praktis yang disarankan oleh para ahli:

1. Gunakan Generator Kata Sandi: Jangan mengandalkan imajinasi manusia yang cenderung berpola. Gunakan alat pembuat kata sandi acak yang menghasilkan kombinasi huruf besar, huruf kecil, angka, dan simbol dengan probabilitas yang setara.
2. Implementasikan Otentikasi Dua Faktor (2FA): Aktifkan 2FA di semua akun yang memungkinkan. Ini memberikan lapisan perlindungan tambahan sehingga meskipun peretas berhasil menebak kata sandi, mereka tetap membutuhkan akses ke perangkat fisik pengguna untuk masuk.
3. Gunakan Pengelola Kata Sandi (Password Manager): Mengingat banyaknya akun yang dimiliki satu individu, menggunakan pengelola kata sandi adalah solusi terbaik untuk menyimpan kata sandi yang kompleks dan unik untuk setiap situs tanpa perlu menghafalnya satu per satu.
4. Hindari Informasi Pribadi: Jangan pernah memasukkan nama anggota keluarga, tanggal lahir, nama hewan peliharaan, atau informasi lain yang dapat ditemukan melalui media sosial ke dalam kata sandi.
5. Perbarui Secara Berkala: Terutama jika ada laporan kebocoran data pada layanan yang Anda gunakan, segera ganti kata sandi Anda dan jangan gunakan kembali kata sandi yang lama.

Kesimpulan dari laporan Kaspersky ini menegaskan bahwa keamanan siber adalah perlombaan senjata yang terus berlanjut. Di tengah ancaman yang semakin cerdas dan otomatis, kesadaran pengguna untuk meninggalkan pola-pola lama yang dapat diprediksi menjadi kunci utama dalam menjaga integritas data di ruang digital. Keamanan bukan lagi sekadar pilihan, melainkan keharusan di tengah ekosistem internet yang semakin tidak terpisahkan dari kehidupan sehari-hari.