先週 SpalshData が "Worst Passwords of 2013" のリストを発表しました。SpalshDataはパスワード管理ソフトなどスマートフォン向けの製品を開発している会社ですが、その年に起きた情報漏洩事件のデータをもとに、ユーザがよく使うパスワードのトップ25を調べて、2011年から毎年発表しています。
- 2013年 "Password" unseated by "123456" on SplashData’s annual "Worst Passwords" list
- 2012年 Scary Logins: Worst Passwords of 2012 — and How to Fix Them
- 2011年 When "Most Popular" Isn't A Good Thing: Worst Passwords of the Year – And How to Fix Them
リストの変遷を表にしてみました。
| 順位 | 2011年 | 2012年 | 2013年 |
|---|---|---|---|
| 1 | password | password | 123456 |
| 2 | 123456 | 123456 | password |
| 3 | 12345678 | 12345678 | 12345678 |
| 4 | qwerty | abc123 | qwerty |
| 5 | abc123 | qwerty | abc123 |
| 6 | monkey | monkey | 123456789 |
| 7 | 1234567 | letmein | 111111 |
| 8 | letmein | dragon | 1234567 |
| 9 | trustno1 | 111111 | iloveyou |
| 10 | dragon | baseball | adobe123 |
| 11 | baseball | iloveyou | 123123 |
| 12 | 111111 | trustno1 | admin |
| 13 | iloveyou | 1234567 | 1234567890 |
| 14 | master | sunshine | letmein |
| 15 | sunshine | master | photoshop |
| 16 | ashley | 123123 | 1234 |
| 17 | bailey | welcome | monkey |
| 18 | passw0rd | shadow | shadow |
| 19 | shadow | ashley | sunshine |
| 20 | 123123 | football | 12345 |
| 21 | 654321 | jesus | password1 |
| 22 | superman | michael | princess |
| 23 | qazwsx | ninja | azerty |
| 24 | michael | mustang | trustno1 |
| 25 | football | password1 | 000000 |
トップ5の安定感たるや素晴らしいものがあります。2013年のリストを見ると、あちらこちらに Adobeのケースの影響が見えますね。細かな順位の変動にあまり意味はないと思いますが、ユーザがどのようなパスワードをつけているのかがよくわかります。Adobeの例でみると、漏洩件数のおよそ 1.5%が「123456」で、トップ10だけで全体の 3%を越える結果になっています。これはつまり password や 123456 などのパスワードを使ってリバース攻撃をかけると、そこそこの確率で攻撃が成功するということです。なんだ、パスワードリストなんていらないですね。
よいパスワードをつけること、使い回しをしないことはユーザの責任ではありますが、その結果が現状なわけで、不正ログインを防ぐためにどうすればよいか、みんなの頭を悩ませているわけです。
