2013年で一番人気の、そして一番危険なパスワードは「123456」
アドビ事件の影響で危険なパスワードにも順位変動
デジタルサービスが日常生活に浸透する中で、アカウントとパスワードの管理はますます重要性を増している。にも関わらず、安易なパスワードを設定する人は多い。米セキュリティ会社SplashDataが先日発表した、ハッキングなどを受けてインターネット上に公開されてしまった数多くのデータファイル(パスワードなど)を元に集計した統計データによると、2013年において汎用性の高い、言い換えれば多くの人が共通して使っておりリスクの高いパスワードの最上位には「123456」が付いた。
SplashData発表による、2013年の汎用的=危険なパスワード上位25位は次の通りとなる。
123456
password
12345678
qwerty
abc123
123456789
111111
1234567
iloveyou
adobe123
123123
admin
1234567890
letmein
photoshop
1234
monkey
shadow
sunshine
12345
password1
princess
azerty
trustno1
000000
同社では毎年同じ趣旨の統計を基にしたランキングを発表しているが、これまでは常に最上位にあった「password」を抜き、「123456」がワーストワンの座についた。この他にも2013年の結果には、大きめな順位変動が確認できる。中でも「adobe123」「photoshop」のような、Adobe社関連の商品名を含んだパスワードが初登場している。これについてSplashData側では、今回の集計の際には「190万人が「123456」を使用、アドビの情報流出で判明した甘いパスワード管理」でも伝えている、米Adobe Systemのユーザー情報流出問題によるデータも含まれており、これが影響したと説明している。トップの「123456」もアドビの漏えい情報ではトップ数のパスワードだったことから分かるように、その影響は大きい。
また今回のランキングでは、アドビの情報が多分に影響しているのも一因だが、数字の羅列のみで創られたパスワードが多数新規ランク入り、あるいは順位を挙げていることも特徴。例えば「123456789」は前年では25位以内に無かったが、2013年は第6位に収まっている。
より安全なパスワードの作成と利用のために
SplashDataでは今回の結果を受け、安全性の高い状態でパスワードを運用するために、上記リストにあるパスワードの使用を避けるだけでなく、第三者が類推しにくい文字列によるパスワードの設定を呼びかけている。
ただし単なるランダムな文字列の集合体では、安全性が高くとも使用者本人も覚えにくい。そこで覚えやすく、そして他からは類推されにくい方法として、普通の会話では使われないような、複数で無意味な単語の組み合わせによる造語を用いる手法を紹介している。例えば「cakes years birthday」「smiles_light_skip?」などである。
また、複数のシステム・サービスで、同じユーザー名とパスワードの組み合わせを使うのは止めるよう促している。これは仮に一つのサービスでハッキングの被害を受けると、他のサービスでもその組み合わせを使われ、被害が拡大する可能性が生じるからである(「「クラブニンテンドー」で不正ログイン2万3926件発生、他社サービスからの流出データ使用か」などにもある通り、一度情報が漏えいするとそのデータを用い、他の類似サービスに次々と不正アクセスを試みる事例が昨今よく見受けられる)。個々のシステム・サービス毎に異なるユーザー名・パスワードを用いることをSplashData側では勧めている。
パスワードの入力は通常半角文字によるもの。日本の事例でも今件のリストの上位陣にあるような数字やシンプルな文字の羅列、簡単な英単語の組み合わせが多分に使われているものと推測される。さらには「angou(暗号)」「hirakegoma(開けゴマ)」のようなローマ字による単語も多用されているかもしれない。
それら第三者から容易に類推される文字列が、パスワードとして不適格であることに違いは無い。今件リスト内に該当するパスワードを使っている人はもちろん、各種指摘内容に心当たりがある人は、可及的速やかに変更をすることをお勧めする。
■関連記事:
