2023年になってもパスワードはサイバーセキュリティにおいて重要な役割を担っており、世界中でサイバー攻撃に悪用されている。サイバー犯罪者はフィッシング詐欺や総当り攻撃(ブルートフォース攻撃、Brute-force attack)、グレデンシャルスタッフィング、キーロガー、情報スティーラーなど、さまざまな方法でパスワードを窃取する。つまり、弱いパスワードを使っていたら、攻撃を受けるリスクは高まる。

基本的に、アカウントごとに異なる強いパスワードを使う必要がある。しかし、多くのユーザーは覚えやすく弱いパスワードを複数のアカウントで使い回している。こうした状況を改善するため、セキュリティベンダーは定期的にパスワードに関するベストプラクティスを公開している。

こうした取り組みを行っても、ユーザーがベストプラクティに従うことは少なく、高い効果は見込めないことはこれまでの歴史が示している。それでも年に数回、少なくとも年に1回はこうしたベストプラクティスを確認して自分の使っているパスワードを再検討するように呼びかけることは安全なインターネット利用を推進する上で欠かしてはならない取り組みだ。

ESETは1月2日(米国時間)、「The world’s most common passwords: What to do if yours is on the list|WeLiveSecurity」において、2022年にセキュリティインシデントで流出した3TBのパスワード データベースを基に、パスワードの安全性を強化する方法について伝えた。

  • The world’s most common passwords: What to do if yours is on the list|WeLiveSecurity

    The world’s most common passwords: What to do if yours is on the list|WeLiveSecurity

ハッキングされやすいパスワードの例として、NordPass が公開した2022 年の一般的なパスワードのトップ200 のリストが紹介されている。このリストは、2022年にセキュリティインシデントで流出した3TBのパスワード データベースを集計したものだ。第1位は「password」で、500 万件近くヒットしたという。

  • NordPass が公開した2022 年の一般的なパスワードランキングトップ20 資料:WeLiveSecurity

さらに、ESETは強固なパスワードを作成するヒントとして、以下を紹介している。

  • アカウンごとに複雑でそれぞれに異なるパスワードを使用する
  • 同じパスワードを使い回さない
  • 他のユーザーとパスワードを共有しない
  • 使っていないアカウントは閉鎖する
  • パスワードマネージャを使用する
  • パスワードジェネレータを使用する
  • パスワードの強度を定期的にチェックする
  • 可能な場合は、多要素認証(MFA: Multi-Factor Authentication)を使用する
  • 公共Wi-Fiでログインを行わない
  • セキュリティソリューションを使って情報スティーラ、フィッシング詐欺、マルウェアなどの脅威に備える
  • 外出するときは肩越しのパスワードののぞき見に注意する
  • 疑わしいメールやメッセージのリンクは安易にクリックしない

覚えやすく簡単なパスワードはサイバー犯罪者にとっても推測しやすい。また、パスワードを使い回すとパスワードが漏洩したときの被害が拡大することを意味しておりリスクが高い。アカウントごとに異なる強いパスワードを使うという原則を可能な限り実現できるように工夫していくことが望まれる。