重要性が超低いサイトだとしても、これらのパスワードを登録しないように。

漏洩、侵害、それに無数のプライバシー・リスクなど、あらゆる問題があるというのに、大多数の人々はいまだに｢password｣と｢123456｣のパスワードを使っています。もうずっと前から危ないといわれているのですが…。

第9回ワースト・パスワード・オブ・ザ・イヤー

セキュリティー・サービス会社SplashDataが、ハッカーによって最も一般的に共有されているパスワードを特定するべく、流出した500万以上のパスワードを評価する第9回ワースト・パスワード・オブ・ザ・イヤーを発表しました。

今年のリストによると、人々は今でも簡単に推測できる、もしくは一般的なパスワードを使ってデータを保護しています。そこには過去の報告にて、特に攻撃されやすいとされていたものも含まれているのです。

去年2位だった｢password｣は、今年は順位がふたつ下がったものの、今でもトップ5に入っています。その中には｢123456｣と｢123456789｣もありますが、新しく｢qwertyuop｣と、たとえば｢7777777｣のように同じものを繰り返すパターンも、それ以下のランキングで使われるようになってきました。

報告書によりますと、一見して複雑に見えるパスワードでも、キーボード上で隣り合って使用されているキーの組み合わせというものもいくつか見られるとのこと。｢qwertyuop｣が良い例ですね。しかしこうした種類のパスワードは、｢複雑に見えるかもしれないが、何百万人ものユーザーが使っていることを知っているハッカーを騙すことはできない｣と付け加えています。

ということで、｢最も酷いパスワード・ベスト50｣の、最初の半分をどうぞ。

1 - 123456（2018年から不動） 2 - 123456789（1ランク上昇） 3 - qwerty（6ランク上昇） 4 - password（2ランク下降） 5 - 1234567（2ランク上昇） 6 - 12345678 （2ランク下降） 7 - 12345（2ランク下降） 8 - iloveyou（2ランク上昇） 9 - 111111（3ランク下降） 10 - 123123（7ランク上昇） 11 - abc123（4ランク上昇） 12 - qwerty123 (Up 13) 13 - 1q2w3e4r（新） 14 - admin（2ランク下降） 15 - qwertyuiop （新） 16 - 654321（3ランク上昇） 17 - 555555（新） 18 - lovely（新） 19 - 7777777（新） 20 - welcome（7ランク下降） 21 - 888888 （新） 22 - princess（11ランク下降） 23 - dragon（新） 24 - password1 （不動） 25 - 123qwe（新）

そしてTeamsIDで発表された、残り50位までです。

26 - 666666 27 - 1qaz2wsx 28 - 333333 29 - michael 30 - sunshine 31 - liverpool 32 - 777777 33 - 1q2w3e4r5t 34 - donald 35 - freedom 36 - football 37 - charlie 38 - letmein 39 - !@#$%^&* 40 - secret 41 - aa123456 42 - 987654321 43 - zxcvbnm 44 - passw0rd 45 - bailey 46 - nothing 47 - shadow 48 - 121212 49 - biteme 50 - ginger

SplashDataのモーガン・スレインCEOは、声明文にて、こう話しています。

このリストを毎年公開することで、人々にオンラインで、自分自身を護るための対策を講じるよう説得したいと考えており、こうした取り組みなどが、ようやく実を結びはじめたと考えています。この数年で、人々はさらに複雑なパスワードへの移行を始めたことがわかります。 しかしハッカーは、単純な英数字パターンをすぐに見つけ出してしまうので、人々の｢パスワードの複雑さ｣は、いまだに不充分なのです。

芋づる式にならないように

残念ながら、データ漏洩は避けられない問題です。ですが、それぞれのアカウントごとに強力な固有のパスワードを使用することで、漏洩されたひとつのログイン情報を使用して、悪意のある人間が、使い回された他のさまざまなアカウントにまでアクセスしてしまうことを防げます。

最も簡単な方法は、パスワード・マネージャーを使用することです。それなら、すべてのアカウントに対してランダムに固有のパスワードを生成し、またそれらを保管するので、一般的なパスワードや、銀行でもNetflixでも同じような脆弱なパスワードをリサイクルしなてすみます。

またすべての人は、できれば、多くのパスワード・マネージャーに組み込まれている認証アプリを使って、最近どこでも採用されている2段階認証を使用可能にしておくべきです。

そして何よりも、どんなアカウントであっても｢password｣を使うのを止めてください。