先般、過去、漏えいした日本のサイトに関係する、おそらく日本人が利用していると考えられるパスワードの分析結果が発表されました。これは情報通信会社の「ソリトンシステム」が毎年発表している調査です。

毎年、誰も思いつく単純なパスワードが多く利用されるという傾向になっています。これは海外でも同様で、上位に位置するパスワードは次の3つに分類されます。

1．数字の繰り返し、あるいは連続する数字、例えば 123456, 333333

2．キーボードの規則的配列、例えば zxcvbn, qazwsx

3. 各サービスの名前、例えば password, dropbox

これらは決して利用してはいけないパスワードと言えます。これらのパスワードは数十年も前からランキングの上位に位置し、ほとんど変わりません。にもかかわらず、なぜ上位のままなのでしょうか。近年の別な調査では、数百万種類あるパスワードで上位20位だけで10％近くあったという報告も聞いています。大雑把に考えても、上記のような安易なパスワードを用いている人が数十万人以上いることになります。それほど不注意な人が多数いるのでしょうか。

実はこれらの調査では、一つの重要な指標が抜けています。つまりそのパスワードが洩れているサイトの重要性です。最近ではほとんどのサービスに対して、IDとパスワードによって個人認証を行うことが普通です。その目的は個人情報を収集すること、あるいはそれを目的としなくとも、利用者の傾向や特性を調査するために、クッキーによる識別以上の正確さを得るためです。利用者にとって、重要性はなく、またそのパスワードが洩れたとしても実害が全くないと考えているサービスも少なくありません。そのようなサービスにはごく簡単なパスワードをつけることも多いでしょう。その結果が反映されていると考えるべきでしょう。

よく利用されるパスワードとしては、誰もが思いつく単語、例えば地名や国名、製品名等が多いようです。少し調査ですが、イギリスの国家サイバーセキュリティ機関の調査によるとtokyo, osakaという地名のほかに国際的にも有名なkyotoの他にhiroshima, nagasakiもよくつかわれています。会社名やゲームソフト、アニメもパスワードとしてよく使われます。この調査は世界全体が対象ですから、必ずしも日本国内で使われているとは限りませんが、国内での割合は少なくありません。

常にランキング上位に位置するパスワードとしてキーボードの配列に基づく文字列を上げました。このキーボード配列というものはパソコンの配列です。最近ではスマートフォンを用いることが多くなり、様々なサービスもパソコンではなく、スマートフォン主体で利用するようになりました。スマートフォンのキーボード、入力方式は国内ではフリック入力が主となっています。フリック入力は海外ではほとんど利用されていません。国内ではフリック入力の簡単さに基づいた文字列が今後増加していくことでしょう。その一つの証左として、4位に「qwerty」、8位に「1q2w3e4r」というパソコンのキーボード配列に基づくパスワードが入っているものの、例年上位だったasdfghjkは17位に下がっています。フリック入力に基づくパスワードとしては例えば、adgjmptwあるいはdmwajtgp等です。