Selama bertahun-tahun industri keamanan telah menekankan pentingnya kata sandi yang kuat. Beberapa penelitian terbaru dari Home Security Heroes secara gamblang menunjukkan nilai dari saran tersebut.
Dengan menggunakan kecerdasan buatan, para kru di situs web informasi dan ulasan keamanan rumah itu memecahkan kata sandi dalam rentang empat hingga tujuh karakter secara instan atau dalam hitungan menit – bahkan ketika kata sandi itu berisi campuran angka, huruf besar dan kecil, dan simbol.
Setelah memasukkan lebih dari 15,6 juta kata sandi ke dalam peretas kata sandi bertenaga AI yang disebut PassGAN, para peneliti menyimpulkan bahwa 51% kata sandi umum dapat dibobol dalam satu menit.
Namun, perangkat lunak AI ini tersendat-sendat pada kata sandi yang lebih panjang. Kata sandi yang hanya terdiri dari 18 karakter akan membutuhkan waktu setidaknya 10 bulan untuk dipecahkan, dan kata sandi yang panjangnya terdiri dari angka, huruf besar dan kecil, dan simbol akan membutuhkan waktu enam kuintiliun tahun untuk dipecahkan.
Pada situs web Home Security Heroes, para peneliti menjelaskan bahwa PassGAN menggunakan jaringan permusuhan generatif (GAN) untuk secara otonom mempelajari distribusi kata sandi yang sebenarnya dari kebocoran kata sandi yang sebenarnya dan menghasilkan kata sandi yang realistis yang dapat dieksploitasi oleh peretas.
“Algoritme AI secara konstan diuji A/B satu sama lain jutaan kali untuk merangsang pembelajaran, sehingga memungkinkannya untuk memiliki jumlah pengetahuan manusia dengan microchip lebih dari 100.000 kali lebih cepat daripada otak manusia,” jelas Domingo Guerra, wakil presiden eksekutif kepercayaan untuk Incode Technologies, sebuah perusahaan verifikasi identitas dan otentikasi biometrik internasional.
“Dibandingkan dengan algoritma brute force tradisional dengan kemampuan terbatas, AI memprediksi angka yang paling mungkin terjadi berdasarkan semua yang telah dipelajari,” katanya kepada TechNewsWorld. “Daripada mencari pengetahuan secara eksternal, AI bersandar pada pola yang telah dibangunnya selama pelatihan untuk menunjukkan perilaku yang ditanyakan dengan cepat.”
Skeptis terhadap AI
Berdasarkan apa yang telah diungkapkan kepada publik, AI menggunakan teknik yang mirip dengan serangan tabel pelangi daripada sekadar memaksa kata sandi secara kasar, demikian menurut Dustin Childs, kepala kesadaran ancaman di Trend Micro’s Zero Day Initiative. Peretas menggunakan tabel pelangi untuk menerjemahkan kata sandi yang di-hash menjadi teks biasa.
“Tabel pelangi memungkinkan AI untuk melakukan pencarian sederhana dan membandingkan operasi pada kata sandi yang di-hash daripada serangan brute force yang lebih lambat,” katanya kepada TechNewsWorld.
“Serangan tabel pelangi telah dikenal selama bertahun-tahun dan telah terbukti dapat memecahkan kata sandi 14 karakter dalam waktu kurang dari lima menit,” tambahnya. “Algoritma hashing yang lebih tua seperti MD5 dan SHA-1 juga lebih rentan terhadap bentuk serangan ini.”
Kebanyakan pembobolan kata sandi dilakukan dengan terlebih dahulu menemukan kata sandi yang di-hash dan kemudian melakukan perbandingan terhadapnya, jelas Robert Hughes, kepala keamanan informasi di RSA, sebuah perusahaan keamanan siber di Bedford, Mass.
“Secara teori,” lanjutnya, “AI dapat mempelajari lebih banyak informasi tentang suatu subjek dan menggunakannya untuk melakukan hal tersebut dengan cara yang cerdas, tetapi hal itu tidak terbukti dalam praktiknya.”
“Tim keamanan telah bersaing dengan brute force dan tabel pelangi selama bertahun-tahun,” katanya. “Faktanya, model AI PassGAN tidak berkinerja secara signifikan lebih cepat daripada model lain yang dimanfaatkan oleh para pelaku ancaman.”
Keterbatasan AI
Roger Grimes, penginjil pertahanan di KnowBe4, penyedia pelatihan kesadaran keamanan di Clearwater, Florida, juga tidak yakin AI dapat memecahkan kata sandi lebih cepat daripada metode tradisional.
“Mungkin saja bisa, dan tentu saja akan bisa di masa depan,” katanya kepada TechNewsWorld, “Tetapi belum ada yang menunjukkan kepada saya tes pasti dari sistem AI mana pun saat ini yang dapat memecahkan kata sandi lebih cepat daripada non-AI, metode menebak kata sandi tradisional dan metode peretasan.”
“Karena semakin banyak orang menggunakan pengelola kata sandi, yang membuat kata sandi yang benar-benar acak, AI tidak akan memiliki keunggulan dibandingkan pembobolan kata sandi tradisional apa pun jika kata sandi yang digunakan benar-benar acak, sebagaimana mestinya,” tambahnya.
Pakar keamanan menunjukkan beberapa keterbatasan dalam menggunakan AI untuk memecahkan kata sandi. Daya komputasi bisa menjadi tantangan, misalnya. “Kata sandi yang lebih panjang dan lebih rumit membutuhkan waktu yang signifikan untuk dipecahkan – bahkan oleh AI,” kata Childs.
“Juga tidak jelas bagaimana AI akan menghadapi mekanisme pengasinan yang digunakan dalam beberapa algoritme hashing,” katanya.
Ada juga perbedaan besar antara menghasilkan tebakan kata sandi dalam jumlah besar dan kemampuan untuk memasukkan tebakan tersebut dalam skenario dunia nyata, tambah John Gunn, CEO Token, pembuat cincin otentikasi yang dapat dikenakan berbasis biometrik di Rochester, N.Y.
“Sebagian besar aplikasi dan sistem memiliki jumlah entri yang salah yang rendah sebelum mereka mengunci peretas, dan AI tidak mengubahnya,” katanya kepada TechNewsWorld.
Selamat Tinggal Kata Sandi
Tentu saja, tidak ada yang perlu khawatir tentang AI yang memecahkan kata sandi jika tidak ada kata sandi yang perlu dipecahkan. Hal itu, meskipun ada prediksi tahunan tentang akhir dari kata sandi, tampaknya tidak mungkin terjadi, setidaknya dalam waktu dekat.
“Seiring berjalannya waktu, kita mungkin akan merampingkan gangguan manajemen kata sandi dengan menghapus proses manual yang kikuk untuk menghafal dan memasukkan untaian panjang angka dan huruf untuk mendapatkan akses,” kata Darren Guccione, CEO Keeper Security, sebuah perusahaan manajemen kata sandi dan penyimpanan online di Chicago.
“Namun mengingat miliaran perangkat dan sistem yang sudah ada dan sudah bergantung pada keamanan kata sandi, kata sandi masih akan tetap ada di masa mendatang,” katanya kepada TechNewsWorld. “Kami hanya bisa memberikan perlindungan yang lebih kuat untuk mendukung penggunaannya yang aman.”
Grimes menambahkan bahwa sudah ada gerakan untuk menyingkirkan kata sandi sejak akhir tahun 1980-an. “Ada ribuan artikel yang memprediksi kematian kata sandi, namun beberapa dekade kemudian, hal ini masih menjadi sebuah perjuangan,” katanya.
“Jika Anda menggabungkan semua solusi otentikasi tanpa kata sandi, mereka tidak akan bekerja pada 2% situs dan layanan di dunia,” lanjutnya. “Itu adalah masalah, dan itu mencegah adopsi secara luas.”
“Sebagai catatan yang baik, lebih banyak orang menggunakan beberapa bentuk otentikasi tanpa kata sandi untuk masuk ke satu atau beberapa situs dan layanan saat ini. Persentasenya lebih tinggi dari sebelumnya,” katanya.
“Tetapi selama persentase total situs dan layanan tetap di bawah 2%, ‘titik kritis’ untuk adopsi otentikasi tanpa kata sandi secara massal akan menjadi sulit,” katanya. “Ini adalah masalah dunia nyata yang sangat sulit dan membuat frustrasi.”
Hughes mengakui bahwa sistem lama, serta kepercayaan dari pengguna dan administrator, telah memperlambat perpindahan dari kata sandi. Namun, ia menambahkan: “Pada akhirnya, penggunaan kata sandi akan diminimalisir, dan sebagian besar akan digunakan di tempat-tempat yang sesuai atau di mana sistem tidak dapat diperbarui untuk mendukung metode lain, tetapi masih butuh waktu bertahun-tahun untuk beralih dari kata sandi bagi kebanyakan orang dan perusahaan.”
Sumber : https://www.technewsworld.com/story/researchers-instantly-crack-simple-passwords-with-ai-178233.html