Adobeから大規模な情報漏洩が起きたことが先月明らかになったが、漏洩規模は当初想定よりもかなり大きく、およそ1億5千万件のアカウント情報が漏洩している(アクティブなアカウント約3,800万件を含む)。このうち 3DES (ECBモード) で暗号化されたパスワードがおよそ 1億3千万件含まれており、これまでにさまざまな分析が行われている。SCG (Stricture Consulting Group) のセキュリティ研究者は、暗号化パスワードとともに漏洩した平文のパスワードヒントなどを手掛かりとしてパスワードの解読を試みており、Top 100パスワードリストを公開している。最も多く使われていたパスワードは「123456」で約191万件、これは全体の約 1.5%に相当する。
Adobeの情報流出で判明した安易なパスワードの実態、190万人が「123456」使用 - ITmedia エンタープライズ
これらの記事を読んで、日本のユーザでも同じだろうかという疑問が湧いたので、少しだけ調べてみた。jpドメインでは yahoo.co.jpが最も多く約100万件のメールアドレスが登録されていたので、これをサンプルとして調査することにした*1。(ちなみに 2位は hotmail.co.jp、3位は ybb.ne.jpで、jpドメインで約327万件のメールアドレスが登録されていた。)
100万件のうち14万件は暗号化されたパスワード情報を含んでいなかったため、残りの86万件のパスワード(ユニークなパスワード約63万件)を利用者の多い順に並べてみた。
(注:暗号化されたパスワードが復号できているわけではないので、あくまでも推測にすぎない。)
| 順位 | 全体での順位 | 暗号化されたパスワード (Base64) | パスワード(推測) | 該当者数 | % | パスワードヒントの例 |
|---|---|---|---|---|---|---|
| 1 | 1 | EQ7fIpT7i/Q= | 123456 | 4652 | 0.54 | 654321, 1〜6, number |
| 2 | 2 | j9p+HwtWWT86aMjgZFLzYg== | 123456789 | 1265 | 0.15 | suuji, 987654321 |
| 3 | 5 | j9p+HwtWWT/ioxG6CatHBw== | 12345678 | 890 | 0.10 | 1-8, 1〜8, 87654321 |
| 4 | 3 | L8qbAD3jl3jioxG6CatHBw== | password | 819 | 0.10 | pass, simple is best, pasuwa-do, P@ssw0rd |
| 5 | 8 | 7LqYzKVeq8I= | 111111 | 720 | 0.08 | 1*6, simple number, 222222 |
| 6 | 46 | e+4n2zDarnvioxG6CatHBw== | 1qaz2wsx | 630 | 0.07 | itumono, 123qweasd, 2wsx1qaz |
| 7 | - | ZnwI3yrEWS4= | sakura | 620 | 0.07 | haru, flower, hana, dog, cat, cherry |
| 8 | 12 | diQ+ie23vAA= | 000000 | 579 | 0.07 | 000, 111111, 0ga6, zero6, 06, 6keta |
| 9 | 41 | TduxwnCuA1U= | 112233 | 489 | 0.06 | 123, suuji, 332211 |
| 10 | 36 | XpDlpOQzTSE= | 121212 | 486 | 0.06 | 212121, 1212, kakeashi, kame |
この結果から言えそうなことは、
- 英字や英単語は少なく、数字のパスワードが多い
- 日本語のパスワードやパスワードヒントが含まれる
- 脆弱なパスワードの割合は全体の平均よりは少ない
英字が少ない点について補足すると、たとえば全体で4位の「adobe123」は約21万人ものユーザが使っているのに、yahoo.co.jpドメインに限るとわずか80人しかいない。全体 9位の「photoshop」も100人だけだ。また全体では100位圏外の「sakura」が 7位にはいっているのも日本ならではと言えるだろう。(ただし yahoo.co.jpドメインだからといってすべて日本のユーザとは限らないが。)
またこれは全体にも共通する点だが、パスワードヒントにパスワードをそのまま書いている(あるいは逆順にして書いている)人がたくさんいることもわかった。パスワードヒントに何を書けばよいかわからず、結局そのままパスワードを書いてしまうのだろう。「秘密の質問と答え」でも同じだが、パスワードを忘れたユーザのための機能が抜け穴になってしまっているようだ。こうした機能があること自体よくないと言えるだろう*2。
今回紹介したパスワード Top 10はユーザが使ってしまいがちな良くないパスワードの例である。自分のパスワードには決して使わないこと!そしてパスワード漏洩時の影響を最小限に抑えるため、複数のサイトでパスワードの使い回しをしないこと!
(参考記事)
日本語では徳丸氏の記事、英語では Sophosの記事が秀逸でもっとも参考になる。また Troy Hunt氏は過去のパスワード漏洩事件でも優れた分析記事を書いており今回も大変参考になる。
Adobeサイトから漏えいした暗号化パスワードはなぜ解読されたか | 徳丸浩の日記
http://blog.tokumaru.org/2013/11/adobe.html
Anatomy of a password disaster – Adobe’s giant-sized cryptographic blunder | Naked Security
http://nakedsecurity.sophos.com/2013/11/04/anatomy-of-a-password-disaster-adobes-giant-sized-cryptographic-blunder/
Troy Hunt: Adobe credentials and the serious insecurity of password hints
http://www.troyhunt.com/2013/11/adobe-credentials-and-serious.html
pivotal analytics - An analysis of the Adobe password dump
http://pv.tl/blog/2013/11/03/adobe-password-analysis/
1286: Encryptic - explain xkcd
http://www.explainxkcd.com/wiki/index.php?title=1286:_Encryptic
How an epic blunder by Adobe could strengthen hand of password crackers | Ars Technica
http://arstechnica.com/security/2013/11/how-an-epic-blunder-by-adobe-could-strengthen-hand-of-password-crackers/
Just how bad are the top 100 passwords from the Adobe hack? (Hint: think really, really bad) | ZDNet
http://www.zdnet.com/just-how-bad-are-the-top-100-passwords-from-the-adobe-hack-hint-think-really-really-bad-7000022782/
