セキュリティーサービスを手掛けるアメリカの会社 SplashData は、インターネット上に流出した500万以上のパスワードの中から、最悪のパスワードを選んだランキング「The Top 100 Worst Passwords」を毎年発表しています。
それによると、2019年度のランキングは「123456」が1位、「123456789」が2位、「qwerty」が3位でした。これらのパスワードは攻撃を受けやすく、他のサイトで使いまわしているとハッキングや不正ログインの被害に合う可能性があります。
実際にパスワードチェッカーで安全性や強度を調べてみると、どれも一瞬でクラックされるという結果が出ました。
また、パスワード流出や漏洩を確認できるサイト「Pwned Passwords」でこれらのパスワードをチェックしてみると、数百万~数千万ものパスワード侵害が見つかります。
流出したメールアドレスやパスワードは、ダークウェブや闇フォーラムで取引され、SNSやウェブサービス、通販サイトに手当たり次第入力してハッキングするツールもあります。
これらの危険なパスワードを使いまわしている場合は、不正にログインされたり、芋づる式にアカウントを乗っ取られたりするかもしれませんよ。
Top100内にあるパスワードは必ず狙われると考えて、パスワードマネージャー「1Password」の利用や、2段階認証の導入、推測されにくいパスワードに変更するといったセキュリティ対策を行いましょう。
最悪パスワードランキングTop100 1位~49位
では、2019年度の The Top 100 Worst Passwords を見てみましょう。まずは1位~49位までのランキングです。以下のサイトはなぜか20位が抜けているので追加しました。
年度によって多少の上下はありますが、10位まではほぼ不動のランキングですね。
- 123456
- 123456789
- qwerty
- password
- 1234567
- 12345678
- 12345
- iloveyou
- 111111
- 123123
- abc123
- qwerty123
- 1q2w3e4r
- admin
- qwertyuiop
- 654321
- 555555
- lovely
- 7777777
- 888888
- princess
- dragon
- password1
- 123qwe
- 666666
- 1qaz2wsx
- 333333
- michael
- sunshine
- liverpool
- 777777
- welcome
- 1q2w3e4r5t
- donald
- freedom
- football
- charlie
- letmein
- !@#$%^&*
- secret
- aa123456
- 987654321
- zxcvbnm
- passw0rd
- bailey
- nothing
- shadow
- 121212
- biteme
最悪パスワードの上位は、数字の羅列や連番が多いですね。あとは「password」や「welcome」といったわかりやすい単語も結構あって、その気になれば簡単に推測されそうです。
調査地域の大半は北米や西欧のため、名前系のパスワードもそれらしいのが多いです。日本限定であれば「toyota」や「sakura」「suzuki」になるのかな。
「donald」がランクインしているのは、やはりアメリカ大統領の影響でしょうか。「qwerty」や「zxcvbnm」はキーボードの配列から、「!@#$%^&*」は英語キーボードの記号の並びです。
SplashDataによると、いまだに危険なパスワードを使っているユーザーは多く、「123456」はおよそ3%のユーザーが利用し、10%が25位までのパスワードのいずれかを利用しているとのこと。
最悪パスワードランキングTop100 50位~100位
続いて50位~100位までのランキングです。やはり覚えやすい単語や名前のパスワードが多いです。
- ginger
- 1q2w3e
- baseball
- abcdef
- harley
- george
- summer
- daniel
- whatever
- buster
- jessica
- hello
- nicole
- mercedes
- hunter
- corvette
- joshua
- 1234
- fuckoff
- ferrari
- cheese
- a12345
- tigger
- amanda
- andrew
- robert
- blahblah
- 12341234
- matthew
- starwars
- sophie
- lakers
- solo
- access
- 1989
- jordan
- maverick
- 1991
- 1990
- ashley
- tesla
- chelsea
- 696969
- trustno1
- cookie
- killer
- banana
- ranger
- test123
- merlin
最悪パスワードランキングTop500
少し古い(2008年)ですが、最悪なパスワードTop500 (The Top 500 Worst Passwords of All Time)というランキングもあります。こちらも「123456」と「password」が上位ですね。
SplashData のランキング Top100 とは違って、こちらにはアダルトサイトのパスワードも含まれているようで、p●ssy や fuc●me といったあまりよろしくない単語もランクインしています。
こちらで分かる人にはわかる面白いパスワードが紹介されていました。
ncc1701 : スタートレックに出てくるエンタープライズの船体番号
thx1138 : SF映画の題名で、ジョージ・ルーカスのデビュー作
ou812 : ヴァン・ヘイレンのアルバムの題名
8675309 : トミー・ツートーンの曲名
なるほどと唸るようなパスワードばかりですが、推測されやすいので使わないほうがいいですね。
日本版 最悪パスワードランキング
少し古いですが、2017年にセキュリティ製品を開発しているソリトンシステムズが、日本のアカウント情報に焦点を絞った最悪パスワードランキングを発表しています。
- 123456
- 123456789
- asdfghjk
- 12345678
- password
- 1qaz2wsx
- 111111
- sakura
- 1234
- 123123
最悪パスワードランキングは、日本でも「123456」がトップでした。他のパスワードも、数字並びかキー配列が由来のものばかりです。日本でも海外でも、みんな考えることは同じですねぇ。
8位に「sakura」がランクインしているのが、唯一日本らしいところでしょうか。
ソリトンシステムズから発表されたホワイトペーパーには、パスワードランキングの他に「事件別の被害」や「組織属性別の被害」の分析が掲載されているので、興味があればダウンロードしてみてください。
ハッカーからパスワードを守るための方法
これらのパスワードを使っている場合は、「Have I Been Pwned?」や「Firefox monitor」で自分のメールアドレスを入力して、情報流出や漏洩がないかチェックしてみてください。
もし漏洩が見つかった場合は、使いまわしのIDやパスワードを他のサイトログインに用いるパスワードリスト攻撃や、推測されやすいパスワードの総当たり攻撃(ブルートフォースアタック)によって、知らないうちに不正ログインやハッキングの被害を受けているかもしれません。
SplashData は、ハッカーからパスワードを守るため、3つの方法を提案しています。
- 大文字小文字、英数字などを織り交ぜた12文字以上のパスワードを使う
- 各ログインページごとに違うパスワードを使う
- 複雑なパスワードを作成してパスワードマネージャーで管理する
ネットユーザーは平均で90のアカウントを持っていると言われていますが、全てのパスワードを個別に設定して覚えるのは大変です。この3つを全て実行するなら、1Password や LastPass, Dashlane, Bitwardenなどのパスワードマネージャーを使ったほうがいいでしょう。
また、最悪パスワードTop100を発表している SplashData でも、TeamsID や SplashID, Gpass といったパスワードマネージャーをリリースしています。
英語版だけなので日本の知名度はイマイチですが、ユーザーのセキュリティに対する意識を向上させたいという SplashData の理念や心意気を感じるのであれば、試してみるのもよいでしょう。