SafetyDetectivesは3月13日(現地時間)、「The Evolution of the Worst Passwords Over the Last 10 Years」において、世界中で利用されているパスワードについて調査結果を伝えた。

漏洩したパスワードの傾向、Z世代の特徴的なパスワード管理、過去数年間におけるパスワードの進化について分析、評価している。

  • The Evolution of the Worst Passwords Over the Last 10 Years

    The Evolution of the Worst Passwords Over the Last 10 Years

漏洩したパスワードの傾向

NordPassとNordStellarは共同で、ダークWebを含むさまざまな公開情報から無償で入手した2.5TBのデータベースを分析(参考:「Top 200 Most Common Passwords | NordPass」)。このデータには漏洩していない強固なパスワードはほぼ含まれていない。そのため、以下の分析は漏洩した脆弱なパスワードに的を絞っている点に留意してほしい。

報告によると、世界中で最も多く利用された(漏洩した)パスワードは「123456」とされる。多くの国で同じ傾向となったが、米国は「secret」が最も多く、カナダ、フィンランド、オランダなどでは「qwerty123」が最も多かったとされる。

日本から漏洩したパスワードの上位10件は次のとおり。キーボード配列を直線的に利用するパスワードが目立つ。

  • 123456789
  • password
  • 12345678
  • 1qaz2wsx
  • asdfghjk
  • asdf12345
  • aa123456
  • asdf1234
  • 123456
  • 1234567890

世代別パスワード管理の特徴

報告によるとZ世代はパスワード管理に高い自信をみせるが、その一方で過半数(51%)がパスワード管理に暗記を用いるという。そのため、パスワードの入力ミスが最も多いとされる。

対して団塊の世代はパスワード管理に最も自信がないという。しかしながら、実際は強力なパスワードを使用する傾向が高く、パスワードの使い回しも少ないとのこと。

パスワードの進化

SafetyDetectivesは過去漏洩した10億件の認証情報と、2016年に実施した調査結果などを組み合わせ、独自のプログラムを用いて分析した結果を紹介している。

分析結果によると、2016年および2021年は数字と小文字のみのパスワードが最も多く使用された。2022年は数字、小文字、大文字の組み合わせが多く、数字、小文字のみは大幅に減少。2023年は数字と小文字のみが再度最も多く使用され、数字、小文字、大文字の組み合わせは僅差で2位につけた。2024年も2023年とほぼ同じ結果とされる。

2022年のみ特徴的な結果となっているが、この年を境に数字、小文字、大文字の組み合わせが大幅に増加しており、パスワードを強化するユーザーが増加した年になったものとみられる。

強力なパスワードを推奨

パスワードはオンラインで個人を特定する重要な鍵だ。盗まれるとアカウントの乗っ取り(なりすまし)、データ侵害、経済的損失などさまざまな被害に遭うことになる。

被害を避けるためにも強力なパスワードを使用すべきだが、依然として脆弱なパスワードを利用するユーザーが後を絶たない。パスワードマネージャーの利用目的も「入力および管理の手間を省きたいから」が1位で、セキュリティ目的での利用は低いとされる。

この状況を改善するためにパスワードを必要としないパスキーの利用が推奨されているが、これは普及の途上にある。同様の仕組みがスタンダードとなるまでの間、オンラインユーザーにはセキュリティの重要性を認識し、一意で強力なパスワードを利用することが望まれている。