「スパイダーマン」や「バットマン」などヒーローの名前をパスワードに設定するのをやめるべきだとMozillaが警告

さまざまなウェブサービスやSNSを利用するためのパスワードは「家の鍵」に例えられるほど重要であり、誰かに推測される可能性があるパスワードは避けるべきです。ところが、世の中には「Superman(スーパーマン)」や「Batman(バットマン)」といったスーパーヒーローの名前をパスワードにしてしまう人が多いとのことで、「スーパーヒーローの名前をパスワードにすると、オンラインにおける弱点になる可能性がある」と、ウェブブラウザのFirefoxを開発するMozillaが警告しています。

Superhero passwords may be your kryptonite wherever you go online
https://blog.mozilla.org/en/mozilla/news/superhero-passwords-may-be-your-kryptonite-wherever-you-go-online/

パスワードは他人から推測されにくいものが好ましいと知っていても、複雑なパスワードを設定するのは面倒くさいものであり、自分が覚えやすい単語をパスワードに設定してしまう人も大勢います。アメコミのスーパーヒーローも「覚えるのが簡単なパスワード」として利用する人が多いとのことで、個人情報流出チェックサイトの「Have I Been Pwned？」に登録されている「2021年に流出したパスワード」の中から、Mozillaがヒーローの名前に注目して抽出したものが以下の通り。

「Superman(スーパーマン)」が36万8397件、「Batman(バットマン)」が22万6327件、「Spider-Man(スパイダーマン)」が16万30件。

「Wolverine(ウルヴァリン)」が5万3745件、「Ironman(アイアンマン)」が4万4175件、「Wonder Woman(ワンダーウーマン)」が2万1756件。

「Daredevil(デアデビル)」がワンダーウーマンと同じく2万1756件、「Thor(ソー)」が7133件、「Black Widow(ブラック・ウィドウ)」が4507件、同じく「Black Panther(ブラック・パンサー)」が4507件、「Captain America(キャプテン・アメリカ)」が689件でした。

また、「ヒーローの正体」もパスワードに設定されることが多い模様。以下のグラフを見ると2021年に流出したパスワードの中で、ウルヴァリンの本名である「James Howlett(ジェームズ・ハウレット)」や記憶喪失時の通称「Logan(ローガン)」は3万479件、スーパーマンの地球名の「Clark Kent(クラーク・ケント)」が4919件、バットマンの本名である「Bruce Wayne(ブルース・ウェイン)」が2267件、スパイダーマンの本名「Peter Parker(ピーター・パーカー)」は2178件もあったことがわかります。

Mozillaはパスワードを安全に保つ方法として、スーパーヒーローの名前といった推測しやすいものを避け、入力時にはFirefoxなどに搭載されている「ブラウザにパスワードを保存する機能」や、ブラウザで保存したパスワードを同期してAndroidやiOSのアプリ上でログイン可能な「Firefox Lockwise」を用いることを推奨しています。

なお、Mozillaは2019年11月にも「パスワードにプリンセスの名前を付けるべきではない」とするブログを公開しており、流出被害に遭ったアカウントの中には、ディズニープリンセスの名前をパスワードに設定したアカウントが多数存在したことを報告していました。

Princesses make terrible passwords for Disney+ - The Mozilla Blog
https://blog.mozilla.org/en/internet-culture/deep-dives/disney-password/