60% Password MD5 Kini Bisa Dibobol dalam Sejam

Hari Password Sedunia tahun ini mungkin lebih pantas dirayakan sebagai titik akhir bagi sistem kata sandi tradisional. Riset terbaru dari tim keamanan Kaspersky memperlihatkan realitas teknis yang mengkhawatirkan: 60 persen password yang di-hash menggunakan algoritma MD5 kini dapat dibobol dalam waktu kurang dari satu jam menggunakan satu unit kartu grafis kelas konsumen. Bahkan, 48 persen di antaranya dapat dipecahkan dalam hitungan kurang dari satu menit.

Algoritma hashing seperti MD5 dulu menjadi standar untuk menyimpan kata sandi secara aman di basis data. Namun, desain asli MD5 difokuskan pada kecepatan pemrosesan. Ketika performa perangkat keras modern meningkat drastis, kecepatan ini justru berbalik menjadi kelemahan fatal, memungkinkan peretas melakukan brute-force atau menebak jutaan kombinasi per detik.

Peran GPU dan AI dalam Peretasan

Lompatan kecepatan pembobolan ini didorong langsung oleh inovasi di sektor perangkat keras. Pengujian menggunakan kartu grafis Nvidia RTX 5090—yang dirilis awal 2025 dengan 21.760 CUDA cores—menunjukkan peningkatan kecepatan cracking sebesar 34 persen dibandingkan pengujian pada 2024.

Kekuatan komputasi mentah ini dikombinasikan dengan teknik peretasan yang makin cerdas. Penyerang kini menerapkan algoritma berbasis AI untuk menganalisis pola dari jutaan kata sandi yang bocor di internet, sehingga proses penebakan tidak lagi murni acak, melainkan sangat terukur.

Penelitian Kaspersky membedah basis data berisi 231 juta rekam kata sandi unik yang terekspos di dark web antara tahun 2023 hingga 2026. Dari sampel raksasa tersebut, terlihat bahwa meskipun teknologi penyerang berevolusi pesat, kebiasaan manusia justru jalan di tempat. Persentase penggunaan kata sandi lemah hanya mencatat penurunan tipis sekitar satu persen dalam dua tahun terakhir.

Beban Sistem Lawas

Steven Furnell, Profesor Keamanan Siber dan Anggota Senior IEEE, menggarisbawahi bahwa kesalahan tidak seharusnya terus dilemparkan kepada pengguna akhir. Institusi atau pengembang yang masih mempertahankan sistem password dengan pengamanan usang adalah celah sesungguhnya.

Secara teknis, MD5 (Message-Digest algorithm 5) sudah puluhan tahun dinyatakan tidak layak untuk melindungi kata sandi karena rentan terhadap collision attack. Meski begitu, implementasinya tetap marak di sistem-sistem lama yang belum mendapat pembaruan. Dengan modal kartu grafis seharga $2.500 atau sekitar Rp40 jutaan, peretas bisa membobol basis data sistem lawas dengan sangat efisien. Ditambah lagi, perangkat lunak pembobol dan layanan phishing kini disewakan bebas di Telegram dengan harga di bawah $100 per bulan.

Industri Mulai Beralih

Menghadapi ketimpangan ini, industri teknologi berskala besar mulai berhenti mengandalkan kata sandi. Laporan dari FIDO Alliance pada 2026 menunjukkan perubahan struktural dalam cara perusahaan melakukan autentikasi identitas.

Adopsi passkey secara global telah melonjak empat kali lipat sejak 2024. Protokol seperti FIDO2, autentikasi biometrik via WebAuthn, dan kunci fisik (seperti YubiKey) perlahan menjadi standar baru. Metode ini memanfaatkan kriptografi kunci publik. Berbeda dengan kata sandi yang diserahkan ke server, kredensial privat passkey tetap tersimpan di dalam perangkat pengguna, sehingga kebal terhadap ancaman kebocoran basis data atau serangan tebak acak.

Kondisi ini memberikan sinyal peringatan serius bagi lanskap digital di Indonesia. Cukup banyak sistem lawas di dalam negeri—mulai dari sistem akademik kampus, portal pemerintah daerah, hingga basis data forum lokal—yang secara historis masih terjebak menggunakan arsitektur MD5 atau SHA-1.

Selama pengelola platform lokal belum bermigrasi minimal ke algoritma hashing yang dirancang lebih lambat seperti bcrypt atau Argon2, data masyarakat akan terus menjadi sasaran empuk. Kecepatan pemecahan hash yang kini hanya memakan hitungan menit membuktikan bahwa satu-satunya cara mengamankan identitas pengguna adalah dengan meninggalkan konsep kata sandi tradisional.