パスワード管理アプリ「Keeper」の調査チームが、ウェブ上に流出していた1000万件のパスワードを使って調査した「2016年で最もよく使われていたパスワードトップ25」が公表されています。例年どおり数字を羅列した「123456」などの安易なパスワードが依然として使われているほか、これまでなかった「18atcskd2w」といった、一見するとなぜよく使われているのかわからないパスワードもランクインしており、Keeperがその理由についても回答しています。

What the Most Common Passwords of 2016 List Reveals [Research Study] - Keeper Blog

https://blog.keepersecurity.com/2017/01/13/most-common-passwords-of-2016-research-study/

Keeperの調査チームによると、2016年は「大量データ流出の年」であり、約1000万件にのぼるパスワードの流出が確認されたとのこと。これらのデータを使って「よく使われているパスワード」を分析した結果、全体の17%ものアカウントが「123456」というパスワードを使っていたことがわかりました。年々データ流出の数が増加しているのが現状ですが、多くのウェブサイトはユーザー向けに流出しづらいパスワードを入力させる対策を行っておらず、Keeperはウェブサイトの管理者に対して「パスワード・セキュリティに対してもっと責任を持ってほしい」と訴えています。

なお、2016年で最もよく使われていたパスワードトップ25は以下のようになっています。

1:123456

2:123456789

3:qwerty

4:12345678

5:111111

6:1234567890

7:1234567

8:password

9:123123

10:987654321

11:qwertyuiop

12:mynoob

13:123321

14:666666

15:18atcskd2w

16:7777777

17:1q2w3e4r

18:654321

19:555555

20:3rjs1la7qe

21:google

22:1q2w3e4r5t

23:123qwe

24:zxcvbnm

25:1q2w3e

1位が「123456」、2位が「123456789」、3位が「qwerty」という容易に推測可能なパスワードがトップ3を占めています。トップ15までのうち7つが6文字以下のパスワードですが、6文字以下のパスワードは総当たり攻撃(ブルートフォースアタック)で数秒以内に解析可能なことがわかっています。Keeperは、もはや短すぎるパスワードや推測しやすいパスワードの入力を防ぐ仕組みを導入していないウェブサイトは「無謀な怠け者」と指摘しています。

17位の「1q2w3e4r」や23位の「123qwe」、24位の「zxcvbnm」のように、一部のユーザーは推測されづらいパスワードを作る努力を行っていますが、このようなキーボード配列に基づく羅列も、辞書攻撃のパスワードクラッカーが解析するまでの時間をせいぜい数秒延ばす程度の効果しかないそうです。



「18atcskd2w」「3rjs1la7qe」など、一見するとランダム生成された推測が難しいパスワードがランクインしていますが、セキュリティ専門家のGraham Cluley氏によると、これらのパスワードはボットがスパム送信用のダミーアカウントを作るために、繰り返し入力されたパスワードと見られています。Cluley氏は「メールプロバイダーはこのような反復を検出してフラグを立てることができる」と話しています。

トップ25にランクインしたパスワードは、分析に使われた1000万件のパスワードのうち半分以上を占めているとのこと。もし該当するパスワードを使っている場合は、ただちにパスワードを解析されづらい強力なものに変更するべきです。Keeperはパスワードをハッキングされないためのルールとして、以下の3つを挙げています。

1:さまざまな文字を使う

数字・大文字・小文字・特殊文字など、異なる種類の文字を組み合わせるほどに、総当たり攻撃で破られにくいパスワードになります。なお、ランダムに生成された51文字の文字・数字・特殊文字を組み合わせたパスワードは、総当たり攻撃で破るまでに約5年の月日を要するとのこと。

2:辞書攻撃のリストにのるパスワードは使わない

「辞書攻撃」とは総当たり攻撃を効率的にするため、推測しやすい簡単なパスワードを辞書的に登録した上で攻撃を行うことを指します。今回のトップ25のランキングのデータも、すべてハッキング用の辞書に登録されます。

3:パスワードマネージャーを使う

「弱いパスワード」がよく使われるのは、「強いパスワード」を頭だけで覚えておくのが難しいため。Keeperのようなパスワードマネージャーには、さまざまな文字を組み合わせた推測困難な強いパスワードを自動生成する機能を備えています。生成したパスワードは覚えておかなくても、パスワードマネージャーに安全に保管することができます。



By Alessandro Tortora