「2016年によく使われたパスワードトップ25」発表、数秒で突破可能な「123456」「qwerty」などが並ぶ


パスワード管理アプリ「Keeper」の調査チームが、ウェブ上に流出していた1000万件のパスワードを使って調査した「2016年で最もよく使われていたパスワードトップ25」が公表されています。例年どおり数字を羅列した「123456」などの安易なパスワードが依然として使われているほか、これまでなかった「18atcskd2w」といった、一見するとなぜよく使われているのかわからないパスワードもランクインしており、Keeperがその理由についても回答しています。

What the Most Common Passwords of 2016 List Reveals [Research Study] – Keeper Blog
https://blog.keepersecurity.com/2017/01/13/most-common-passwords-of-2016-research-study/

Keeperの調査チームによると、2016年は「大量データ流出の年」であり、約1000万件にのぼるパスワードの流出が確認されたとのこと。これらのデータを使って「よく使われているパスワード」を分析した結果、全体の17%ものアカウントが「123456」というパスワードを使っていたことがわかりました。年々データ流出の数が増加しているのが現状ですが、多くのウェブサイトはユーザー向けに流出しづらいパスワードを入力させる対策を行っておらず、Keeperはウェブサイトの管理者に対して「パスワード・セキュリティに対してもっと責任を持ってほしい」と訴えています。

なお、2016年で最もよく使われていたパスワードトップ25は以下のようになっています。

1:123456
2:123456789
3:qwerty
4:12345678
5:111111
6:1234567890
7:1234567
8:password
9:123123
10:987654321
11:qwertyuiop
12:mynoob
13:123321
14:666666
15:18atcskd2w
16:7777777
17:1q2w3e4r
18:654321
19:555555
20:3rjs1la7qe
21:google
22:1q2w3e4r5t
23:123qwe
24:zxcvbnm
25:1q2w3e

1位が「123456」、2位が「123456789」、3位が「qwerty」という容易に推測可能なパスワードがトップ3を占めています。トップ15までのうち7つが6文字以下のパスワードですが、6文字以下のパスワードは総当たり攻撃(ブルートフォースアタック)で数秒以内に解析可能なことがわかっています。Keeperは、もはや短すぎるパスワードや推測しやすいパスワードの入力を防ぐ仕組みを導入していないウェブサイトは「無謀な怠け者」と指摘しています。

17位の「1q2w3e4r」や23位の「123qwe」、24位の「zxcvbnm」のように、一部のユーザーは推測されづらいパスワードを作る努力を行っていますが、このようなキーボード配列に基づく羅列も、辞書攻撃のパスワードクラッカーが解析するまでの時間をせいぜい数秒延ばす程度の効果しかないそうです。


「18atcskd2w」「3rjs1la7qe」など、一見するとランダム生成された推測が難しいパスワードがランクインしていますが、セキュリティ専門家のGraham Cluley氏によると、これらのパスワードはボットがスパム送信用のダミーアカウントを作るために、繰り返し入力されたパスワードと見られています。Cluley氏は「メールプロバイダーはこのような反復を検出してフラグを立てることができる」と話しています。

トップ25にランクインしたパスワードは、分析に使われた1000万件のパスワードのうち半分以上を占めているとのこと。もし該当するパスワードを使っている場合は、ただちにパスワードを解析されづらい強力なものに変更するべきです。Keeperはパスワードをハッキングされないためのルールとして、以下の3つを挙げています。

1:さまざまな文字を使う
数字・大文字・小文字・特殊文字など、異なる種類の文字を組み合わせるほどに、総当たり攻撃で破られにくいパスワードになります。なお、ランダムに生成された51文字の文字・数字・特殊文字を組み合わせたパスワードは、総当たり攻撃で破るまでに約5年の月日を要するとのこと。

2:辞書攻撃のリストにのるパスワードは使わない
「辞書攻撃」とは総当たり攻撃を効率的にするため、推測しやすい簡単なパスワードを辞書的に登録した上で攻撃を行うことを指します。今回のトップ25のランキングのデータも、すべてハッキング用の辞書に登録されます。

3:パスワードマネージャーを使う
「弱いパスワード」がよく使われるのは、「強いパスワード」を頭だけで覚えておくのが難しいため。Keeperのようなパスワードマネージャーには、さまざまな文字を組み合わせた推測困難な強いパスワードを自動生成する機能を備えています。生成したパスワードは覚えておかなくても、パスワードマネージャーに安全に保管することができます。

By Alessandro Tortora

・関連記事
最もよく使われている危険なパスワードトップ25リスト、年度ごとにパスワードにも流行があることも明らかに - GIGAZINE

iOS 8から「1Password」が指紋認証に対応、Twitterなどのログインも簡単に - GIGAZINE

無料化した面倒なパスワード管理が超絶簡単になる「LastPass」スマホ版の使い方 - GIGAZINE

たった1つのパスワードを覚えれば全OS・全ブラウザのあらゆるパスワード自動入力&管理ができる「LastPass」 - GIGAZINE

無料でiOS/Android/PC/Macで使用可能なパスワード&クレカ管理ソフト「Dashlane Password Manager」 - GIGAZINE

無料でiOS/Android/Windows/Mac間を同期可能なパスワード管理ソフト「PasswordBox」 - GIGAZINE

ワンクリックでさまざまなサービスにログインでき、ひとつのアカウントを複数人で安全に共有することも可能なパスワードマネージャー「Meldium」 - GIGAZINE

頭を悩ます面倒なIDとパスワードをまとめて簡単管理できるフリーソフト「ID Manager」 - GIGAZINE

パスワード管理ツール「1Password」は平文のメタデータから個人情報を盗みとられるおそれ - GIGAZINE

トレンドマイクロのパスワード管理ツールにパスワードを盗まれ遠隔操作される脆弱性 - GIGAZINE

139

in ソフトウェア,  ネットサービス,  ウェブアプリ,  セキュリティ, Posted by darkhorse_log