今年もまた、この12カ月間で、パスワードのセキュリティが改善されたかどうかを確認すべき時期がやってきた。
2015年を振り返ると、もっともよく使われている最悪のパスワードの中に「123456」や「password」といったものが含まれていた。しかし5年経った今でも、こうした例はなくなる気配がない。
NordPassとそのパートナーは、2020年の情報漏えいインシデントで流出した2億7569万9516件のパスワードを分析した。同社は、出現頻度が高いパスワードは極めて容易に推測できるものが多く、こうしたパスワードを使用しているアカウントは数秒で破られてしまう可能性があると述べている。「ほかに同じものがないパスワード」だと考えられるものは、全体の44%にすぎなかった。
パスワードマネージャーを提供している企業であるNordPassは米国時間11月18日、パスワードセキュリティの現状がうかがえるレポートを発表した。頻度が高かったパスワードの上位に来たのは、「123456」「123456789」「picture1」「password」「12345678」だった。
これらのパスワードは、総当たり攻撃で破るのに約3時間かかる「picture1」を除けば、どれも辞書攻撃を行うスクリプトなどを使って数秒で破れるものばかりで、人間でも推測できるレベルのものだった。
200件強のリストの中には「whatever(どうでもいい)」というパスワードもあった。いまだに強力でクラックしにくいパスワードを使うつもりがない人が多いことを考えれば、これはパスワードセキュリティの現状をうまく表したフレーズだといえるかもしれない。リストには他にも、「football」「iloveyou」「letmein(Let me in、自分を中に入れてくれの意)」「pokemon」などのパスワードが含まれていた。
NordPassのデータセットによれば、2020年のもっとも頻度が高かったパスワードのトップ10は以下の通りだ。
パスワードを選ぶ際は、キーボード上で隣り合っている文字や数字を並べるなどの単純なパターンや繰り返しは避けるべきだろう。大文字や記号、数字などを意外な場所に入れることも効果的だ。また、どんな場合でも誕生日や名前などの個人情報をパスワードに使うべきではない。
ベンダー側でも単純な組み合わせはユーザーのプライバシーやセキュリティの守る上で役に立たないことを意識すべきだが、ユーザー側でも、自分のアカウントを責任を持って守る必要がある。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。