よく使われるパスワード 2013年版

先週 SpalshData が "Worst Passwords of 2013" のリストを発表しました。SpalshDataはパスワード管理ソフトなどスマートフォン向けの製品を開発している会社ですが、その年に起きた情報漏洩事件のデータをもとに、ユーザがよく使うパスワードのトップ25を調べて、2011年から毎年発表しています。

リストの変遷を表にしてみました。

順位 2011年 2012年 2013年
1 password password 123456
2 123456 123456 password
3 12345678 12345678 12345678
4 qwerty abc123 qwerty
5 abc123 qwerty abc123
6 monkey monkey 123456789
7 1234567 letmein 111111
8 letmein dragon 1234567
9 trustno1 111111 iloveyou
10 dragon baseball adobe123
11 baseball iloveyou 123123
12 111111 trustno1 admin
13 iloveyou 1234567 1234567890
14 master sunshine letmein
15 sunshine master photoshop
16 ashley 123123 1234
17 bailey welcome monkey
18 passw0rd shadow shadow
19 shadow ashley sunshine
20 123123 football 12345
21 654321 jesus password1
22 superman michael princess
23 qazwsx ninja azerty
24 michael mustang trustno1
25 football password1 000000


トップ5の安定感たるや素晴らしいものがあります。2013年のリストを見ると、あちらこちらに Adobeのケースの影響が見えますね。細かな順位の変動にあまり意味はないと思いますが、ユーザがどのようなパスワードをつけているのかがよくわかります。Adobeの例でみると、漏洩件数のおよそ 1.5%が「123456」で、トップ10だけで全体の 3%を越える結果になっています。これはつまり password や 123456 などのパスワードを使ってリバース攻撃をかけると、そこそこの確率で攻撃が成功するということです。なんだ、パスワードリストなんていらないですね。

よいパスワードをつけること、使い回しをしないことはユーザの責任ではありますが、その結果が現状なわけで、不正ログインを防ぐためにどうすればよいか、みんなの頭を悩ませているわけです。