2019年も大量のアカウントデータが流出した年となった。年末になると、流出したデータを整理し、利用されているパスワードのランキングが発表される。当然、こうしたパスワードはサイバー攻撃で悪用されるため、最も使ってはいけないパスワードと考えられる。
しかし、広く利用されているパスワードを使うユーザーは後を絶たず、依然として、弱いパスワードが世界中で使われるという状況が続いている。
NordPassはこのほど、今年のデータ侵害において漏洩した5億件ほどのパスワードを分析した結果を「Top 200 worst passwords of 2019」として公開した。上位200のパスワードがリストアップされている。漏洩したパスワードのデータは匿名の研究者から寄贈されたものだという。
上位20のパスワードは次のとおり。
| 順位 | パスワード |
|---|---|
| 1 | 12345 |
| 2 | 123456 |
| 3 | 123456789 |
| 4 | test1 |
| 5 | password |
| 6 | 12345678 |
| 7 | zinch |
| 8 | g_czechout |
| 9 | asdf |
| 10 | qwerty |
| 11 | 1234567890 |
| 12 | 1234567 |
| 13 | Aa123456. |
| 14 | iloveyou |
| 15 | 1234 |
| 16 | abc123 |
| 17 | 111111 |
| 18 | 123123 |
| 19 | dubsmash |
| 20 | test |
-
Top 200 worst passwords of 2019
例年、トップ10やトップ20はほとんど変わらない。12345が不動の1位であり、これに類似した数字の羅列や数字のパターン、人名やキーボードの入力パターンなどがパスワードとして使われることが多い。
以前、英国立サイバーセキュリティーセンターも似たような分析結果を公表、キャラクター名という分類ではpokemonが使われることが多いと指摘していたが、NordPassに掲載されたデータにもpokemonは含まれている(143位)。
こうしたデータは既に漏洩したアカウントデータなどをもとに作られており、攻撃者や攻撃用ツールの開発者も同様のデータを持っていると言える。こうしたパスワードはすぐにサイバー攻撃に悪用されるため、アカウント窃取などの被害を受けやすくなる。
今回、公開されたトップ200のパスワードに自身が利用しているパスワードが含まれている場合、直ちにリストに掲載されていないより強いパスワードに変更することが望まれる。
