10億件超の資格情報を分析して明らかになった最も利用されているパスワードは「123456」

ハッキングなどの被害により漏洩した10億件超の資格情報を分析したところ、多くの人がセキュリティ的に脆弱なパスワードを利用していることが再び明らかになっています。

GitHub - FlameOfIgnis/Pwdb-Public: A collection of all the data i could extract from 1 billion leaked credentials from internet.
https://github.com/FlameOfIgnis/Pwdb-Public

New analysis of one billion leaked credentials reveals that most people reuse weak passwords - TechSpot
https://www.techspot.com/news/85854-new-analysis-one-billion-leaked-credentials-reveals-most.html

One out of every 142 passwords is '123456' | ZDNet
https://www.zdnet.com/article/one-out-of-every-142-passwords-is-123456/

GoogleやMicrosoftといった大手IT企業や、National Cyber​​ Security Allianceのようなサイバーセキュリティに関連する非営利団体は、近い将来にパスワード不要のログイン方法を採用することを望んでいます。これがいつ実現することになるのかは不明ですが、それまでの間、ユーザーはこれまで通りオンラインアカウントを保護するためにパスワードを使用し続ける必要があります。そして、このパスワードでアカウントを安全に保護するために重要なのは、第三者が推測するのが困難になるような「複雑なパスワード」を設定することです。

セキュリティ企業のSplashDataが公開する「最悪のパスワード・ワースト100」では、毎年「123456」というパスワードが「最も使用されている最悪のパスワード」として選出されています。この種のパスワードは使用者が簡単に思い出すことができるという利点はあるものの、第三者が容易に推測可能で、データ侵害にあう可能性が高くなる危険なパスワードと言えます。

最悪のパスワード2018年版、トップは安定の「123456」 - GIGAZINE

キプロス大学に通うトルコ人学生のアタ・ハクシル氏が実施した最新の分析でも、多くのユーザーが推測が容易な「脆弱なパスワード」を再利用していることが明らかになっています。ハクシル氏が過去10年間で起きたデータ侵害で漏洩したユーザー名とパスワードの組み合わせ10億件超を分析したところ、利用されているパスワードの種類は1億6891万9919種類で、そのうち「123456」という脆弱なパスワードが最も多く使用されており、700万件も発見されたことが明らかになっています。

また、ハクシル氏は「大文字と小文字と数字が混在する10文字以上のパスワード」をセキュリティ上の安全性が高いパスワードとしており、これに該当するパスワードは10億件中わずか4万件程度であったとしています。

分析によると、パスワードの平均文字数は「9.4822」文字、28.79％が文字のみのパスワード、26.16％が小文字のみのパスワード、13.37％が数字のみのパスワード、34.41％が末尾が数字のパスワードだそうです。加えて、10憶件のパスワードのうち固有のものは全体の8.83％のみであることが明らかになっています。つまり、その他のパスワードは使いまわし、あるいは第三者とのかぶりであるというわけです。

今回分析された10億件のパスワードの平均文字数は「9.4822」文字ですが、アメリカ国立標準技術研究所はパスワードの文字数として8文字以上を推奨しており、連邦捜査局(FBI)は15文字以上を推奨しています。

なお、一般的には大文字や数字を含む複雑なパスワードを設定することが求められますが、セキュリティ専門家の中には「大文字も数字も記号も意味がなかった」と主張する人もいます。

パスワードの専門家が「大文字も数字も記号も意味がなかった」と過去の持論が間違いだったことを認める - GIGAZINE

by Thomas Au