Ketika tim keamanan berdiskusi tentang risiko kredensial, fokus utama biasanya tertuju pada ancaman eksternal yang mencolok seperti phishing, malware, atau ransomware. Namun, salah satu risiko paling persisten dan sering diremehkan justru berasal dari kebiasaan internal yang terlihat sepele: Penggunaan Ulang Kata Sandi yang Nyaris Identik (Near-Identical Password Reuse).

Risiko ini sering kali lolos dari radar kontrol keamanan tradisional. Di lingkungan yang memiliki kebijakan kata sandi ketat sekalipun, praktik ini tumbuh subur, menciptakan ilusi kepatuhan tanpa memberikan keamanan yang nyata.

Baca Juga: Vonis Bersalah Insinyur Google: Pencurian Cetak Biru AI untuk Tiongkok dan Kegagalan Deteksi "Insider Threat"

Apa itu Near-Identical Password Reuse? Ini terjadi ketika pengguna melakukan perubahan kecil dan terprediksi pada kata sandi lama mereka alih-alih membuat yang baru. Perubahan ini secara teknis memenuhi syarat kebijakan IT (seperti huruf besar, angka, simbol), namun secara kriptografis sangat lemah.

Contoh klasik meliputi:

• Inkrementasi Angka: Summer2023! → Summer2024!
• Penambahan Karakter: P@ssword → P@ssword1
• Substitusi Simbol: Welcome! → Welcome?

Perilaku ini didorong oleh beban kognitif (cognitive load). Riset Specops menemukan bahwa organisasi dengan 250 karyawan mungkin harus mengelola sekitar 47.750 kata sandi secara kolektif. Di tengah tuntutan untuk mengingat puluhan kredensial SaaS, pengguna memilih jalan pintas: membuat variasi yang mudah diingat yang sekadar "mencentang kotak" aturan kompleksitas sistem.

Bagi penyerang, kata sandi jenis ini adalah emas. Serangan kredensial modern tidak lagi sekadar menebak secara acak (brute force). Penyerang menggunakan basis data kebocoran masa lalu (breached credentials) sebagai fondasi.

Jika penyerang mengetahui kata sandi Anda tahun lalu adalah Jakarta2023!, alat otomatis mereka tidak perlu menebak dari nol. Mereka akan menjalankan skrip mutasi sederhana: mengganti tahun, mengubah kapitalisasi, atau menggeser simbol. Konsistensi perilaku manusia dalam memodifikasi kata sandi membuat pola ini sangat mudah diprediksi oleh mesin.

Banyak organisasi merasa aman karena telah menerapkan aturan kompleksitas standar (panjang minimal, campuran karakter). Namun, aturan ini buta terhadap pola kemiripan.

• Kelemahan Logika: Kata sandi FinanceTeam!2023 dan FinanceTeam!2024 sama-sama memenuhi syarat kompleksitas tinggi. Sistem tradisional menganggapnya sebagai kata sandi yang kuat dan berbeda, padahal bagi peretas, jarak antara keduanya hanya satu digit.
• Fragmentasi Kebijakan: Inkonsistensi aturan antara sistem korporat, cloud, dan perangkat pribadi semakin mendorong pengguna untuk menggunakan pola "satu akar kata sandi untuk semua".

Fenomena ini membuktikan bahwa kepatuhan (compliance) tidak sama dengan keamanan (security). Kebijakan rotasi kata sandi 90 hari yang kaku seringkali justru menjadi bumerang; alih-alih meningkatkan keamanan, hal itu memaksa pengguna untuk melakukan pola inkrementasi (Januari, Februari, Maret, dst.) yang mudah ditebak.