• セキュリティ情報
  • 2019.01.17

SplashData「最悪なパスワードトップ100」2018年版を公開

セキュリティサービスを手がけるSplashDataは、毎年恒例となりつつある「Top 100 Worst Passwords」の2018年版を2018年12月13日に公開しました。

当該記事は、インターネット上で漏洩が確認されたパスワードを評価し、予測可能で推測しやすいパスワードが使い続けられていることをうけて、「最悪」なパスワードに順位をつけて注意喚起を行い強力なパスワードの採用を呼びかけています。

「最悪」なパスワードトップ25

2011年から毎年公表されている「最悪」なパスワードですが、第1位に「123456」、第2位に「password」がランクインしています。1位と2位は2013年から6年連続で不動の位置におり、その内容からも安易に推測可能かつ危険であることがうかがえます。

トップ100のうち、1位~25位のパスワードは以下の通りです。

1 123456
2 password
3 123456789
4 12345678
5 12345
6 111111
7 1234567
8 sunshine
9 qwerty
10 iloveyou
11 princess
12 admin
13 welcome
14 666666
15 abc123
16 football
17 123123
18 monkey
19 654321
20 !@#$%^&*
21 charlie
22 aa123456
23 donald
24 password1
25 qwerty123

ランクインしたパスワードの傾向

共通事項として、数字の順列や分かりやすい・打ちやすい単語が散見されます。また、「qwerty」などキーボードの並び順にそったパスワードも毎年ランクインしており、使用頻度が高いことが見受けられます。
20位の「!@#$%^&*」は一見すると異色に見えますが、英語配列のキーボードでシフトキー+1~8キーを順に入力しているだけで、「qwerty」と同じ入力規則による文字列になっています。

尚、これらのパスワードには著名人の名前などもよく用いられますが、今年は「donald」が23位にランクインしています。これはドナルド・トランプからきていると思われ、人名なども得てして使用・特定されやすく危険です。

まとめ


近年では2段階認証によるセキュリティの強化や、そもそも認証機構からパスワードを廃止する動きもありますが、依然としてパスワードの重要性は変わりません。

パスワードを破るための手段に必要な、マシンの処理速度も年々向上しており、今まで以上にパスワードを突破することが簡単になりつつあります。上記で挙げたようなパスワードは、総当たり攻撃で容易く破られてしまいます。同様にログインIDとパスワードを同じにしている場合も安易に推測が可能なため突破されやすいです。自己防衛のためにもパスワードは強固なものを使用しましょう。

また、利用しているサービスがサイバー攻撃を受けて、パスワードが流出してしまうケースも考えられます。
同じパスワードを複数サービスで使いまわしていると、流出のタイミングで立て続けに情報漏洩の被害に遭う可能性がありとても危険です。パスワードの流用はやめ、それぞれ一意なパスワードを設定するように心掛けましょう。

 

参考サイト:
https://www.teamsid.com/splashdatas-top-100-worst-passwords-of-2018/
https://en.wikipedia.org/wiki/List_of_the_most_common_passwords

※本記事は掲載時点の情報であり、最新の情報とは異なる場合があります。予めご了承ください。