Sebaiknya Jangan Pakai Password Buatan AI, Jangan Deh!
Perusahaan keamanan siber Irregular menemukan bahwa password yang dibuat menggunakan AI seperti Claude, ChatGPT, dan Gemini terlihat rumit, tetapi sebenarnya mudah ditebak.
Dalam analisis terbarunya, Irregular menguji model AI dengan meminta mereka membuat password enam karakter yang mengandung huruf, angka, dan simbol. Hasilnya menunjukkan pola berulang dan bahkan output yang identik di beberapa percobaan.
Temuan Mengejutkan pada Model AI
Pada pengujian terhadap Claude Opus 4.6, dari 50 password yang dihasilkan hanya 30 yang unik. Terdapat 20 duplikasi, dan 18 di antaranya merupakan string yang sama persis.
Masalah lain adalah pola yang terlalu konsisten:
Claude: Hampir selalu memulai password dengan huruf kapital "G", lalu diikuti angka "7". Karakter seperti "L", "9", "m", "2", "$", dan "#" muncul di setiap password, sementara sebagian besar huruf alfabet lainnya tidak pernah digunakan.
ChatGPT: Menunjukkan pola serupa di mana hampir semua password dimulai dengan huruf "v", dan hampir separuhnya menggunakan "Q" sebagai karakter kedua.
Gemini: Cenderung memulai dengan huruf "k" (baik kecil maupun besar), serta hampir selalu memakai kombinasi "#", "P", atau "9" di posisi awal.
Mengapa AI Tidak "Acak" Murni?
Irregular mencatat tidak satu pun dari 50 password mengandung karakter yang berulang. Sekilas ini tampak acak, namun secara probabilitas justru mengindikasikan pola yang dapat ditebak.
Peneliti menjelaskan akar masalahnya ada pada cara kerja Large Language Model (LLM). Model ini dirancang untuk menghasilkan pola yang "masuk akal" berdasarkan probabilitas statistik, bukan menghasilkan angka acak murni. Akibatnya, password terlihat kompleks tetapi memiliki entropi rendah.
Kesimpulan dan Saran Keamanan
Irregular menegaskan pengguna dan developer sebaiknya tidak mengandalkan LLM untuk membuat password. Kelemahan ini bersifat mendasar dan tidak bisa diperbaiki hanya dengan pengaturan prompt atau parameter model.
Temuan ini menjadi pengingat bahwa AI mungkin terdengar meyakinkan, tetapi tidak selalu aman untuk kebutuhan krusial seperti keamanan akun digital.
