もっとも人気のある、危険なパスワードは「123456」
デジタルサービスが日常生活に浸透する一方、利用機会の増加に伴い暗記が面倒なことから、安易なパスワードを設定する人は多い。米セキュリティ会社SplashDataが先日発表した、ハッキングなどを受けてインターネット上に公開されてしまった数多くのデータファイル(パスワードなど)を元に集計した統計データ(200万件以上の事例を元に精査)によると、2015年において汎用性の高い、言い換えれば多くの人が共通して使い、リスクの高いパスワードの最上位には「123456」が付いた(「Announcing Our Worst Passwords of 2015」)。
SplashData発表による、2015年の汎用的=危険なパスワード上位25位は次の通りとなる。
123456
password
12345678
qwerty
12345
123456789
football
1234
1234567
baseball
welcome
1234567890
abc123
111111
1qaz2wsx
dragon
master
monkey
letmein
login
princess
qwertyuiop
solo
passw0rd
starwars
2013年分には「190万人がパスワードに「123456」を使用、アドビの情報流出で判明」で紹介の通り、アメリカのAdobe Systemによるユーザー情報流出問題で大きな状況変化が生じ、「photoshop」をはじめとするアドビ社製品に直接係わりのある固有名詞が多数登場した。しかし2014年以降は上位陣から抜けている。今年もまた、アドビ社に直接かかわり合いのあるパスワードは上位には見られない。その一方、最上位の「123456」と「password」は、SplashDataがパスワードに関するランキングの精査内容の公開を始めた2011年分以降、常に上位2位に位置している。
容易に想像が付く文字列が多数が使われている状況もこれまで通り。例えばキーボードの並びでそのまま文字を打ち込んでいく数字の羅列や「qwerty」「qwertyuiop」(キーボードの配列で左上の列の左端から一文字ずつ打つ)、「1qaz2wsx」(キーボードの配列で一番左を上から順に、次いで二番目を再び上から順に打つ)、シンプルで誰もが知っている言い回しや単語、それらの組み合わせなどが名を連ねている。「これなら分かりやすい。他に使っている人もいないだろう」との目論見なのかもしれない。
また、アクセスの際に使われることが多いため、ログイン周りと深い言葉が多用されているのも目に留まる。「welcome」「login」「letmein」などが好例。さらに2015年は映画「スターウォーズ」の新作「スター・ウォーズ/フォースの覚醒」が公開されたこともあり、「solo」「starwars」のような関係キーワードがいくつか登場しているのが特徴的。
より安全なインターネットライフを目指したパスワードの使用
SplashDataのCEOであるMorgan Slain氏は今回の結果に対し「文字を追加してパスワードのセキュリティを上げる傾向が見られるが、もしそれらがシンプルなパターンによるものだったとしたら、たとえ文字数が多くともハッキングのリスクは何ら変わるところがない」と言及している。また「12文字以上の長さのパスワードを使う」「複数のサービスで同じユーザー名とパスワードの組合せを使わない」「パスワード管理用のソフトを用いる、さらにはランダムなパスワードを生成して自動ログインするようなツールを活用する」とも述べている。
また以前同氏は
「数字のみの羅列によるパスワードは絶対に避けるべき」
「パスワードを要求するサービスでは、より長い、さらには数字と文字列の組合せによる入力を求めるようになりつつあるが、それでもなお安心することはできない」
「スポーツ名やプロスポーツのチーム名は汎用性が高いので使わない」
「誕生日関連の数字、子供の名前に人気のある名詞は使うべきではない」
「趣味名や著名スポーツ選手名、自動車のブランドや映画名も使わうべきではない」
「25位より下のランキングも合わせ、昨年のパスワード上位陣とさほど顔ぶれが変わらないのは憂慮すべき事態である」
など、パスワードを利用する際の留意事項などを言及している。インターネット上のサービスを利用する上では、心しておくべき内容に違いない。
とりわけ「複数のサービスで同じユーザー名とパスワードの組合せを使わない」は重要。仮に一つのサービスでハッキングの被害を受けると、他のサービスでもその組み合わせを使われて被害が拡大する可能性が生じるため。この手法によるハッキングを「リスト型アカウントハッキング」と呼んでいるが、昨今生じているアカウント乗っ取り事案では、この手法によるものが多分に推測される状況が確認されており、大いに気を付けねばならない。
ランダムな文字列の集合体、例えば「j%7K&yPx$」のようなものを用いるのも一つの手。しかし安全性が高くとも、使用者本人も覚えにくく使いづらい。そこで覚えやすく、かつ他からは類推されにくい方法として、普通の会話では使われない複数の単語の無意味な組み合わせによる手法もある。例えば「cakes years birthday」などである(あるいは他人が絶対知りえない、本人だけの情報を元にしてもよい)。
パスワードの入力は半角文字によるものが多いため、日本の事例でも、日本語の全角文字、例えば「パスワード」「暗号ナンバー」といった文字列が使われることは無く、今件のリストの上位陣にあるような数字や文字の羅列、簡単な英単語の組み合わせが多分に使われているものと考えられる。あるいは「angou」「hirakegoma」のようなローマ字による単語も多用されているかもしれない。
いずれにせよ、第三者から容易に類推される文字列が、パスワードとして不適格であることに違いは無い。今件リスト内に該当するものがある人はもちろん、そうでなくとも指摘内容に思い当たる節がある人(特に同じユーザー名とパスワードの組合せを複数サービスで使っている人)は、可及的速やかに変更をすることを強くお勧めしたい。
■関連記事: