毎年、この時期に発表されるワースト・パスワード・オブ・ザ・イヤーが今年も発表されました。
「最も酷いパスワード・ベスト50」は何だったのでしょうか?
評価方法
米SplashData社がハッカーにより流出した500万件以上のパスワードを評価してランキング化(ワースト)しています。
- 123456(2018年から不動)
- 123456789(1ランク上昇)
- qwerty(6ランク上昇)
- password(2ランク下降)
- 1234567(2ランク上昇)
- 12345678 (2ランク下降)
- 12345(2ランク下降)
- iloveyou(2ランク上昇)
- 111111(3ランク下降)
- 123123(7ランク上昇)
- abc123(4ランク上昇)
- qwerty123 (Up 13)
- 1q2w3e4r(新)
- admin(2ランク下降)
- qwertyuiop (新)
- 654321(3ランク上昇)
- 555555(新)
- lovely(新)
- 7777777(新)
- welcome(7ランク下降)
- 888888 (新)
- princess(11ランク下降)
- dragon(新)
- password1 (不動)
- 123qwe(新)
- 666666
- 1qaz2wsx
- 333333
- michael
- sunshine
- liverpool
- 777777
- 1q2w3e4r5t
- donald
- freedom
- football
- charlie
- letmein
- !@#$%^&*
- secret
- aa123456
- 987654321
- zxcvbnm
- passw0rd
- bailey
- nothing
- shadow
- 121212
- biteme
- ginger
上位は毎年ランクインしているようなワードが並んでいますが、30位くらいからは日本では馴染みが無いだろうワードが並んでいますね。ハッカーたちが英語圏ということもあるのでしょうね。そのうち「kamikaze」とか入ってくるのかな。
リストにはないけどよく使われると言われる
「名前+誕生日」
芸能人に限らずSNSで誕生日を公開しているような場合、予想できるワードになるので注意が必要です。
パスワードの所持数
会社で使うパスワード、プライベートで使うパスワード、皆さんどれくらい持っていますか?
私は、仕事柄(情シス)多い気がするしクラウドのサービスを使うことも多い。プライベートでもサイト管理などしているので恐らく100個近いのではないかと思ってます。
業界の調査では一般企業勤めの場合は、一人30個弱という調査結果を見たことがありますが、アメリカのパスワード管理会社が端末から調査を行った結果、191個という恐ろしい数になったと報告がありました。
自分でも管理できていないパスワード、一時しのぎで作ったものとか、結構あるということになりますね。
パスワードの仕様が違うのが厄介
パスワードって使うシステムやサービスによって仕様が違うところが厄介ですよね。
- 数字〇ケタ
- 英数字〇文字
- 英字大文字&小文字&数字&記号
など。
さらに〇回前まで同じのは使えないとか、〇ヶ月ごとに変更とか。パスワードを忘れてしまうので、同じパスワードを付けてしまう欠陥があることが分かっています。
最近では、パスワードは定期的に変えても意味が無いばかりでなく、汎用的だったり規則性のあるパスワードにしがちで逆に脆弱になるという報告もあり、一部の企業では、複雑なパスワードを設定したあとは、定期的に変更しない様にしているようです。
ランダムなパスワードって、実は人間には作り出すのが難しいし、そもそも限られた英数字や記号の羅列でそれを作ろうとするから安全性にむりがでますね。
人間の頭のほうがハッキング技術の進歩に追い付けていない
難しいパスワードを設定→設定した自分も解らなくなりログインできないという情けないことが日常的によく見かけます。
普段仕事で使っているシステムなのに、ログインできないという問い合わせを受けることがありますが、それはただ、ボケたのだろうと思うことにしていますが。
もう「パスワード」という概念が無くなってくるかも知れませんね。
すでに生体認証は実用化されていますが、いずれ基本的な機能として使われるようになるでしょうね。
ハッキング技術はさらに進化し、生体情報を取得するようになると思うので、生体+生体などに。
いたちごっこですが、技術の発達には必要悪。
