セキュリティサービスを手がけるSplashDataは、毎年恒例となりつつある「Top 100 Worst Passwords」の2019年版を2019年12月18日に公開しました。

当該記事は、インターネット上で漏洩が確認されたパスワードを評価し、予測可能で推測しやすいパスワードが使い続けられていることをうけて、「最悪」なパスワードランキングを発表することで注意喚起を行い、強力なパスワードを採用することを呼びかけています。

「最悪」なパスワードトップ25

2011年から毎年公表されている「最悪」なパスワード。今回は、第1位に「123456」、第2位に「123456789」がランクインしました。1位と2位は集計が始まった2011年から8年連続で「123456」「password」となっていましたが、今回初めてこの組み合わせが崩れたこととなります。しかし、いずれも安易に推測可能できるため、危険であることには変わりありません。

トップ100のうち、1位～25位のパスワードは以下の通りです。
（▲：前回から順位上昇、■：前回と同順位、▼：前回から順位下降、★：前回圏外）

■ 1位 123456
▲ 2位 123456789
▲ 3位 qwerty
▼ 4位 password
▲ 5位 1234567
▼ 6位 12345678
▼ 7位 12345
▲ 8位 iloveyou
▼ 9位 111111
▲ 10位 123123
▲ 11位 abc123
▲ 12位 qwerty123
★ 13位 1q2w3e4r
▼ 14位 admin
★ 15位 qwertyuiop
▲ 16位 654321
★ 17位 555555
★ 18位 lovely
★ 19位 7777777
▼ 20位 welcome
★ 21位 888888
▼ 22位 princess
★ 23位 dragon
■ 24位 password1
★ 25位 123qwe

ランクインしたパスワードの傾向

共通事項として、数字の順列や分かりやすい・打ちやすい単語が散見されます。
また、「qwertyuiop」などキーボードの並び順にそったパスワード、「1q2w3e4r」「123qwe」のようにキーボードを2段使ったパスワードも、使用頻度が高いことが見受けられます。

尚、前回23位にランクインしたドナルド・トランプからきていると思われる「donald」は今回34位となりました。「michael」「charlie」など他の人名・地名も100位以内にランクインしており、推測されやすく危険性が高いことが分かります。

まとめ

近年では2段階認証によるセキュリティの強化や、そもそも認証機構からパスワードを廃止する動きもありますが、依然としてパスワードの重要性は変わりません。

パスワードを破るための手段に必要な、マシンの処理速度も年々向上しており、今まで以上にパスワードを突破することが簡単になりつつあります。今回挙げたパスワードに限らず、短いパスワードや規則性が単純なパスワードは、総当たり攻撃などで容易く破られてしまいます。

ログインIDとパスワードを同じにしている場合や、自分の名前・誕生日などの個人情報を使用している場合なども、安易に推測が可能なため突破されやすいです。自己防衛のためにもできる限り複雑なパスワードを使用しましょう。

また、利用しているサービスがサイバー攻撃を受けて、パスワードが流出してしまうケースも考えられます。同じパスワードを複数サービスで使いまわしていると、流出のタイミングで立て続けに情報漏洩の被害に遭う可能性がありとても危険です。パスワードの流用はやめ、それぞれ一意なパスワードを設定するように心掛けましょう。

参考サイト

STOP! パスワード使い回し!キャンペーン2019 (一般社団法人 JPCERTコーディネーションセンター)
http://www.jpcert.or.jp/pr/stop-password.html

参考サイト：
https://www.teamsid.com/100-50-worst-passwords-2019/
https://www.teamsid.com/1-50-worst-passwords-2019/
https://en.wikipedia.org/wiki/List_of_the_most_common_passwords

※本記事は掲載時点の情報であり、最新の情報とは異なる場合があります。予めご了承ください。