2018年でもっとも人気のある、そして危険なパスワードは「123456」(最新)

2018/12/15 11:22

このエントリーをはてなブックマークに追加
2018-1215主にスマートフォン向けにパスワード管理をはじめとしたさまざまなアプリケーションやサービスを提供しているアメリカ合衆国の【SplashData】は2018年12月13日、モバイル端末、パソコン(Mac OSやWindows)を用いたインターネット上でよく使われる25のパスワードを発表した。その内容によれば、もっとも多くの人が使用している、見方を変えればもっとも危険なパスワードは「123456」だった。次いで「password」「123456789」が続いている。SplashDataでは今回リストアップされた汎用性(=リスク)の高いパスワードを使っている場合は、可及的速やかに変更すべきであると推奨している(【SplashData’s Top 100 Worst Passwords of 2018】)。

スポンサードリンク


ツートップは変わらず「123456」と「password」


SplashDataでは毎年、ハッキングなどを受けてインターネット上に公開されてしまった数多くのデータファイル(パスワードなど)を収集し、その統計データを基に汎用性の高い、つまりは多くの人が共通して使っている、リスクの高いパスワードのランキングを発表している。

今回発表された2018年分では500万件以上の事例を元に精査が行われている(アダルトサイトから漏えいしたパスワードは今件精査には使われていない)。それによると前年2017年分に続き2018年分においても、「123456」が最上位につくこととなった。次いで「password」が続いている。以下上位25位までを使われている順位で列挙すると次の通りとなる。

123456
password
123456789
12345678
12345
111111
1234567
sunshine
qwerty
iloveyou
princess
admin
welcome
666666
abc123
football
123123
monkey
654321
!@#$%^&*
charlie
aa123456
donald
password1
qwerty123

2013年分においては、それまでトップについていた「password」から「123456」への交代劇が最大のハイライトであった。これは【190万人がパスワードに「123456」を使用、アドビの情報流出で判明】で紹介した通り、アメリカのAdobe Systemによるユーザー情報流出問題による影響が大きい。今回年もその立ち位置は継続中で、これで6年連続となっている。もっともSplashDataがパスワードに関するランキングの精査内容の公開を始めた2011年分以降、「password」と「123456」が上位2位に位置し続けていることに変化は無い。

「photoshop」をはじめとするアドビ社製品に直接係わりのある固有名詞は2014年以降上位陣から抜けており、「123456」がアドビ社製品に係わるものの偏り的な傾向では無く、汎用的な動きだったことも見て取れる。

「qwerty」など一方、容易に想像が付く文字列が多数が使われている状況もこれまで通り。例えばキーボードの並びでそのまま文字を打ち込んでいく数字の羅列や「qwerty」(キーボードの配列で左上の列の左端から一文字ずつ打つとこの並びになる)が含まれる「qwerty123」、アメリカ合衆国でよく使われるキーボードで一番上の行の1-8をシフトキーを押しながら押すと出てくる「!@#$%^&*」、シンプルで誰もが知っている言い回しや単語、それらの組み合わせ、例えば「football」などが名を連ねている。「これなら分かりやすいし、他に使っている人もいないだろう」との目論見なのかもしれない。

また、アクセスの際に使われることが多いため、ログイン周りと深い言葉が多用されているのも目に留まる。「admin」などが好例。さらにアメリカ合衆国大統領Donald Trump氏からの連想と思われる「donald」が入っているのが特徴ではある。そして「『password』ならパスワードそのものなので覚えやすいが、ありきたりなのでマズいから『1』を追加すれば問題ない(password1)」「数字の羅列だと単純すぎるから、逆から入力すればいいだろう(654321)」との安易な発想を多くの人がしており、結果的にセキュリティの低下につながっている実情も確認できる。

なお今回の統計結果に際し、トップの「123456」は全体(流出したパスワード)の3%ほどが該当すること、上位25位で全体の10%近くが相当するとのことである。

より安全なパスワードのために


今回の結果に関してSplashDataではセキュリティ向上のヒントとして「複数の文字種類を組み合わせた12文字以上のパスワードを使うこと」「複数のサービスで同じユーザー名とパスワードの組合せを使わない」「パスワード管理用のソフトを用いる、さらにはランダムなパスワードを生成して自動ログインするようなツールを活用する」と述べている。

以前同氏は「文字を追加してパスワードのセキュリティを上げる傾向が見られるが、もしそれらがシンプルなパターンによるものだったとしたら、たとえ文字数が多くともハッキングのリスクは何ら変わるところがない」と言及していた。今回の結果からはその実情がうかがえる結果が出ている。

また同氏は「数字のみの羅列によるパスワードは絶対に避けるべき」「パスワードを要求するサービスでは、より長い、さらには数字と文字列の組合せによる入力を求めるようになりつつあるが、それでもなお安心することはできない」「スポーツ名やプロスポーツのチーム名は汎用性が高いので使わない」「誕生日関連の数字、子供の名前に人気のある名詞は使うべきではない」「趣味名や著名スポーツ選手名、自動車のブランドや映画名も使わうべきではない」など、パスワードを利用する際の留意事項を以前言及していた。インターネット上のサービスを利用する上では、どれもが皆、心しておくべき内容に違いない。

とりわけ「複数のサービスで同じユーザー名とパスワードの組合せを使わない」は重要。これは仮に一つのサービスでハッキングの被害を受けると、他のサービスでもその組み合わせを使われて被害が拡大する可能性が生じるからである。この手法によるハッキングの事を「リスト型アカウントハッキング」と呼んでいるが、昨今生じているアカウント乗っ取り事案においては、この手法によるものが多分に推測される状況が確認されており、大いに気を付けるべき話。

ランダムな文字列の集合体、例えば「j%7K&yPx$」「1ey89%xo」のようなものを用いるのも一つの手。しかしこれでは、安全性が高くとも、使用者本人も覚えにくく使いづらい。そこで覚えやすく、かつ他からは類推されにくい方法として、普通の会話では使われない複数の単語の無意味な組み合わせによる手法もある。例えば「cakes years birthday」「smiles_light_skip?」などである(あるいは他人が絶対知りえない、本人だけの情報を元にしてもよいだろう)。

パスワードの入力は概して半角文字によるものなので、日本の事例でも、日本語の全角文字、例えば「パスワード」「暗号ナンバー」といった文字列が使われることは無く、今件のリストの上位陣にあるような数字や文字の羅列、簡単な英単語の組み合わせが多分に使われているものと考えられる。あるいは「angou」「hirakegoma」のようなローマ字による単語も多用されているかもしれない。

いずれにせよ、第三者から容易に類推される文字列が、パスワードとして不適格であることに違いは無い。今件リスト内に該当するものがある人はもちろん、そうでなくとも指摘内容に思い当たる節がある人(特に同じユーザー名とパスワードの組み合せを複数サービスで使っている人)は、可及的速やかに変更をすることを強くお勧めしたい。


■関連記事:
【「クラブニンテンドー」で不正ログイン2万3926件発生、他社サービスからの流出データ使用か】
【パスワード管理方法、8.5%は「書いた紙をパソコンなどの周囲に貼る」】
【ウェブ上でのログイン、パスワードを全部共用している人は1割強】
【イギリスのネット利用者の55%「ほとんどのサイトで同じパスワードを流用する」】
【3割が「パスワードを友達と共有」…米の子供達のネットセキュリティへの対応をグラフ化してみる】

スポンサードリンク


関連記事


このエントリーをはてなブックマークに追加
▲ページの先頭に戻る    « 前記事|次記事 »

(C)2005-2019 ガベージニュース/JGNN|お問い合わせ|サイトマップ|プライバシーポリシー