使うと危険! 最悪パスワードランキング

スポンサーリンク
スポンサーリンク

危険なパスワード

セキュリティーサービスを手掛けるアメリカの会社 SplashData は、インターネット上に流出した500万以上のパスワードの中から、最悪のパスワードを選んだランキング「The Top 100 Worst Passwords」を毎年発表しています。

それによると、2019年度のランキングは「123456」が1位、「123456789」が2位、「qwerty」が3位でした。これらのパスワードは攻撃を受けやすく、他のサイトで使いまわしているとハッキングや不正ログインの被害に合う可能性があります。

実際にパスワードチェッカーで安全性や強度を調べてみると、どれも一瞬でクラックされるという結果が出ました。

また、パスワード流出や漏洩を確認できるサイト「Pwned Passwords」でこれらのパスワードをチェックしてみると、数百万~数千万ものパスワード侵害が見つかります。

流出したメールアドレスやパスワードは、ダークウェブや闇フォーラムで取引され、SNSやウェブサービス、通販サイトに手当たり次第入力してハッキングするツールもあります。

これらの危険なパスワードを使いまわしている場合は、不正にログインされたり、芋づる式にアカウントを乗っ取られたりするかもしれませんよ。

Top100内にあるパスワードは必ず狙われると考えて、パスワードマネージャー「1Password」の利用や、2段階認証の導入、推測されにくいパスワードに変更するといったセキュリティ対策を行いましょう。

スポンサーリンク

最悪パスワードランキングTop100 1位~49位

では、2019年度の The Top 100 Worst Passwords を見てみましょう。まずは1位~49位までのランキングです。以下のサイトはなぜか20位が抜けているので追加しました。

年度によって多少の上下はありますが、10位まではほぼ不動のランキングですね。

Top 50 Worst Passwords of 2019
What do “password” and President Trump have in common? Both lost ranking on SplashData’s Annual Worst Passwords List
  1. 123456
  2. 123456789
  3. qwerty
  4. password
  5. 1234567
  6. 12345678
  7. 12345
  8. iloveyou
  9. 111111
  10. 123123
  11. abc123
  12. qwerty123
  13. 1q2w3e4r
  14. admin
  15. qwertyuiop
  16. 654321
  17. 555555
  18. lovely
  19. 7777777
  20. 888888
  21. princess
  22. dragon
  23. password1
  24. 123qwe
  25. 666666
  26. 1qaz2wsx
  27. 333333
  28. michael
  29. sunshine
  30. liverpool
  31. 777777
  32. welcome
  33. 1q2w3e4r5t
  34. donald
  35. freedom
  36. football
  37. charlie
  38. letmein
  39. !@#$%^&*
  40. secret
  41. aa123456
  42. 987654321
  43. zxcvbnm
  44. passw0rd
  45. bailey
  46. nothing
  47. shadow
  48. 121212
  49. biteme

最悪パスワードの上位は、数字の羅列や連番が多いですね。あとは「password」や「welcome」といったわかりやすい単語も結構あって、その気になれば簡単に推測されそうです。

調査地域の大半は北米や西欧のため、名前系のパスワードもそれらしいのが多いです。日本限定であれば「toyota」や「sakura」「suzuki」になるのかな。

「donald」がランクインしているのは、やはりアメリカ大統領の影響でしょうか。「qwerty」や「zxcvbnm」はキーボードの配列から、「!@#$%^&*」は英語キーボードの記号の並びです。

SplashDataによると、いまだに危険なパスワードを使っているユーザーは多く、「123456」はおよそ3%のユーザーが利用し、10%が25位までのパスワードのいずれかを利用しているとのこと。

最悪パスワードランキングTop100 50位~100位

続いて50位~100位までのランキングです。やはり覚えやすい単語や名前のパスワードが多いです。

Top 50 Worst Passwords of 2019
What do “password” and President Trump have in common? Both lost ranking on SplashData’s Annual Worst Passwords List
  1. ginger
  2. 1q2w3e
  3. baseball
  4. abcdef
  5. harley
  6. george
  7. summer
  8. daniel
  9. whatever
  10. buster
  11. jessica
  12. hello
  13. nicole
  14. mercedes
  15. hunter
  16. corvette
  17. joshua
  18. 1234
  19. fuckoff
  20. ferrari
  21. cheese
  22. a12345
  23. tigger
  24. amanda
  25. andrew
  26. robert
  27. blahblah
  28. 12341234
  29. matthew
  30. starwars
  31. sophie
  32. lakers
  33. solo
  34. access
  35. 1989
  36. jordan
  37. google
  38. maverick
  39. 1991
  40. 1990
  41. ashley
  42. tesla
  43. chelsea
  44. 696969
  45. trustno1
  46. cookie
  47. killer
  48. banana
  49. ranger
  50. test123
  51. merlin

最悪パスワードランキングTop500

少し古い(2008年)ですが、最悪なパスワードTop500 (The Top 500 Worst Passwords of All Time)というランキングもあります。こちらも「123456」と「password」が上位ですね。

SplashData のランキング Top100 とは違って、こちらにはアダルトサイトのパスワードも含まれているようで、p●ssy や fuc●me といったあまりよろしくない単語もランクインしています。

The Top 500 Worst Passwords of All Time
From the moment people started using passwords, it didn’t take long to realize how many people picked the very same passwords over and over. Even the way people...

こちらで分かる人にはわかる面白いパスワードが紹介されていました。

ncc1701 : スタートレックに出てくるエンタープライズの船体番号
thx1138 : SF映画の題名で、ジョージ・ルーカスのデビュー作
ou812 : ヴァン・ヘイレンのアルバムの題名
8675309 : トミー・ツートーンの曲名

なるほどと唸るようなパスワードばかりですが、推測されやすいので使わないほうがいいですね。

日本版 最悪パスワードランキング

少し古いですが、2017年にセキュリティ製品を開発しているソリトンシステムズが、日本のアカウント情報に焦点を絞った最悪パスワードランキングを発表しています。

  1. 123456
  2. 123456789
  3. asdfghjk
  4. 12345678
  5. password
  6. 1qaz2wsx
  7. 111111
  8. sakura
  9. 1234
  10. 123123

最悪パスワードランキングは、日本でも「123456」がトップでした。他のパスワードも、数字並びかキー配列が由来のものばかりです。日本でも海外でも、みんな考えることは同じですねぇ。

8位に「sakura」がランクインしているのが、唯一日本らしいところでしょうか。

ソリトンシステムズから発表されたホワイトペーパーには、パスワードランキングの他に「事件別の被害」や「組織属性別の被害」の分析が掲載されているので、興味があればダウンロードしてみてください。

世界のハッキング事件による 日本のアカウント情報漏洩分析 | 特集 | ソリトンシステムズ
特集 - 世界のハッキング事件による 日本のアカウント情報漏洩分析のページです。

ハッカーからパスワードを守るための方法

これらのパスワードを使っている場合は、「Have I Been Pwned?」や「Firefox monitor」で自分のメールアドレスを入力して、情報流出や漏洩がないかチェックしてみてください。

もし漏洩が見つかった場合は、使いまわしのIDやパスワードを他のサイトログインに用いるパスワードリスト攻撃や、推測されやすいパスワードの総当たり攻撃(ブルートフォースアタック)によって、知らないうちに不正ログインやハッキングの被害を受けているかもしれません。

SplashData は、ハッカーからパスワードを守るため、3つの方法を提案しています。

  • 大文字小文字、英数字などを織り交ぜた12文字以上のパスワードを使う
  • 各ログインページごとに違うパスワードを使う
  • 複雑なパスワードを作成してパスワードマネージャーで管理する

ネットユーザーは平均で90のアカウントを持っていると言われていますが、全てのパスワードを個別に設定して覚えるのは大変です。この3つを全て実行するなら、1Password や LastPass, Dashlane, Bitwardenなどのパスワードマネージャーを使ったほうがいいでしょう。

パスワードを安全に管理 1Passwordの使い方と設定方法
ログインIDやパスワードを安全に管理できるパスワードマネージャ「1Password」をご紹介します。セキュリティ対策のために複雑なパスワードを設定しても、マスターパスワードさえ覚えておけば1Passwordで一括管理できるので安心です。

また、最悪パスワードTop100を発表している SplashData でも、TeamsID や SplashID, Gpass といったパスワードマネージャーをリリースしています。

英語版だけなので日本の知名度はイマイチですが、ユーザーのセキュリティに対する意識を向上させたいという SplashData の理念や心意気を感じるのであれば、試してみるのもよいでしょう。

タイトルとURLをコピーしました