先週 SpalshData が "Worst Passwords of 2013" のリストを発表しました。SpalshDataはパスワード管理ソフトなどスマートフォン向けの製品を開発している会社ですが、その年に起きた情報漏洩事件のデータをもとに、ユーザがよく使うパスワードのトップ25を調べて、2011年から毎年発表しています。
- 2013年 "Password" unseated by "123456" on SplashData’s annual "Worst Passwords" list
- 2012年 Scary Logins: Worst Passwords of 2012 — and How to Fix Them
- 2011年 When "Most Popular" Isn't A Good Thing: Worst Passwords of the Year – And How to Fix Them
リストの変遷を表にしてみました。
順位 | 2011年 | 2012年 | 2013年 |
---|---|---|---|
1 | password | password | 123456 |
2 | 123456 | 123456 | password |
3 | 12345678 | 12345678 | 12345678 |
4 | qwerty | abc123 | qwerty |
5 | abc123 | qwerty | abc123 |
6 | monkey | monkey | 123456789 |
7 | 1234567 | letmein | 111111 |
8 | letmein | dragon | 1234567 |
9 | trustno1 | 111111 | iloveyou |
10 | dragon | baseball | adobe123 |
11 | baseball | iloveyou | 123123 |
12 | 111111 | trustno1 | admin |
13 | iloveyou | 1234567 | 1234567890 |
14 | master | sunshine | letmein |
15 | sunshine | master | photoshop |
16 | ashley | 123123 | 1234 |
17 | bailey | welcome | monkey |
18 | passw0rd | shadow | shadow |
19 | shadow | ashley | sunshine |
20 | 123123 | football | 12345 |
21 | 654321 | jesus | password1 |
22 | superman | michael | princess |
23 | qazwsx | ninja | azerty |
24 | michael | mustang | trustno1 |
25 | football | password1 | 000000 |
トップ5の安定感たるや素晴らしいものがあります。2013年のリストを見ると、あちらこちらに Adobeのケースの影響が見えますね。細かな順位の変動にあまり意味はないと思いますが、ユーザがどのようなパスワードをつけているのかがよくわかります。Adobeの例でみると、漏洩件数のおよそ 1.5%が「123456」で、トップ10だけで全体の 3%を越える結果になっています。これはつまり password や 123456 などのパスワードを使ってリバース攻撃をかけると、そこそこの確率で攻撃が成功するということです。なんだ、パスワードリストなんていらないですね。
よいパスワードをつけること、使い回しをしないことはユーザの責任ではありますが、その結果が現状なわけで、不正ログインを防ぐためにどうすればよいか、みんなの頭を悩ませているわけです。