米MicrosoftのWebメールサービス「Windows Live Hotmail」のユーザーアカウント情報がオンラインに流出する事件が起きたが、その約10000アカウント分のパスワードをセキュリティ会社Acunetixの研究者が分析した。公開されたレポートによると、最も使われていたパスワードは「123456」(64件)。全体の10%が脆弱なパスワードだったという。

パスワードは簡単に予想されないように、数字とアルファベットを無作為に組み合わせて、短すぎないものが好ましい。だが複雑で長すぎると使いにくくなる。そのバランスが難しいところだ。Acunetixが公開したパスワード分析結果 (合計10,028件、有効9,843件)によると、ユニークで予想しにくいパスワードが全体の90%に達していたものの、残る10%は容易に見破られそうなパスワードだった。同じ組み合わせのパスワードのトップ10は以下の通りだ。

1. 123456 (64件)
2. 123456789 (18件)
3. alejandra (11件)
4. 111111 (10件)
5. alberto (9件)
5. tequiero (9件)
5. alejandro (9件)
5. 12345678 (9件)
9. 1234567 (8件)
10. estrella (7件)

トップ10の半分を非常に予想しやすい数字が占めた。さらに11位から20位には「iloveyou」、「daniel」、「000000」、「654321」、「america」などが含まれる。

パスワードのタイプは、アルファベット小文字だけが最も多く42%、続いて、大文字/小文字/数字の組み合わせが30%。数字のみが19%、アルファベット/数字/アルファベット以外の文字の組み合わせが6%、大文字と小文字が3%となっている。パスワードの長さの平均は8文字だった。6文字から9文字が多く、全体の69%を占める。最も長かったのは「lafaroleratropezoooooooooooooo」(30文字)だった。

他のセキュリティ専門家と同様に、AcunetixもHotmailのアカウント情報がフィッシング・キットで盗まれたと推測している。ただし、情報を盗み取った後にユーザーをHotmail/Liveサイトに導かず、エラーメッセージをリターンする粗末なキットであるという。また被害にあったユーザーのパスワードに使われている単語に基づくと、主にラテンコミュニティをターゲットにしたフィッシング攻撃と考えられる。