Sucuriは先日の発表で、多くのハイテク企業がバイトメトリックスやU2Fキーといった物理キーを使ってパスワードレスなログインを実現する方向を目指していると指摘した。こうした取り組みはパスワードがもたらすリスクを軽減し、たくさんのパスワードを記憶しなければならないこの現状を変えてくれるかもしれない。
未来がそうした方向を向いているとしても、現在はそうではない。ユーザーは多くのパスワードを覚えなければならず、そして大量のパスワードはすでにデータ漏洩の被害に遭ってサイバー犯罪者に悪用されている。ユーザーが使っているパスワードの多くはすでにサイバー犯罪者の辞書に掲載されているのだ。これでは安心してインターネットを使うことはできないだろう。
パスワードが現在のインターネットの安全を支える要であることは間違いないのだが、多くのユーザーが弱いパスワードを使っているのも現実だ。NordPassの報告によれば、2020年に最も使われたダメなパスワードは「123456」であり、多くのユーザーが似たような弱いパスワードを使っていた(参考「使ってはいけないダメなパスワードTop200発表 - 2020年版」)。
NordPassが発表したダメなパスワードトップ20は次のとおり。
| 順位 | パスワード |
|---|---|
| 1 | 123456 |
| 2 | 123456789 |
| 3 | picture1 |
| 4 | password |
| 5 | 12345678 |
| 6 | 111111 |
| 7 | 123123 |
| 8 | 12345 |
| 9 | 1234567890 |
| 10 | senha |
| 11 | 1234567 |
| 12 | qwerty |
| 13 | abc123 |
| 14 | Million2 |
| 15 | 000000 |
| 16 | 1234 |
| 17 | iloveyou |
| 18 | aaron431 |
| 19 | password1 |
| 20 | qqww1122 |
こうしたデータの多くは世界基準だ。日本の状況については、ソリトンシステムズが2021年4月に公開した「日本人のパスワードランキング2020」が参考になる。2020年に発覚した232件の情報漏洩インシデントから日本人が利用しているパスワードを分析した報告書だ。同報告書に掲載されている日本人版の「ダメなパスワードトップ20」は次のとおり。
| 順位 | パスワード |
|---|---|
| 1 | 123456 |
| 2 | password |
| 3 | asdfghjk |
| 4 | 12345678 |
| 5 | 123456789 |
| 6 | asdasd456 |
| 7 | 111111 |
| 8 | 1qaz2wsx |
| 9 | 19980621 |
| 10 | 123123 |
| 11 | jza90supra |
| 12 | sakura |
| 13 | aaaaaa |
| 14 | 20121204 |
| 15 | 20121207 |
| 16 | asdf1234 |
| 17 | zxcvbnm |
| 18 | asdfghjkl |
| 19 | qwertyuiop |
| 20 | 1234567890 |
-
日本人のパスワードランキング2020 資料: ソリトンシステムズ
多少の違いはあるが、世界も日本も状況はよく似ている。キーボード上のキーを縦横斜めなどに規則的に押したもの、passwordといった関連性のある単語やそのもじり、人気のあるアニメやスポーツの単語などだ。
現実の問題として、インターネットを安全に使うには強いパスワードが必須だ。最近では、パスワードマネージャやWebブラウザが提案するランダムで強いパスワードをサービスごとに生成して使うことが推奨されている。
それにはまず、「Have I Been Pwned」で自分のアカウントが情報漏洩の被害に遭っていないかを確認し、該当する場合はパスワードを強いものへ変更しよう。それ以外のアカウントもパスワードを使い回していたり、弱いパスワードを使っていたりするなら、強いパスワードへ変更することが望まれる。
サイバー犯罪者は常に新しい攻撃手法を模索しており、攻撃方法は巧妙になる一方だ。しかし、簡単なパスワードはそうした新しい攻撃手法にかかわらず、攻撃に使われる。Webサービスを安全に使っていくには、パスワードを見直し、強いパスワードを使う必要がある。
