おはようございます。こんにちは。こんばんは。
ミッド(@mid_v_lab)です
「Apache Log4j」という任意のコードを実行できる脆弱性で、セキュリティ界隈では盛り上がっております。
個人的にはこういうリモートで実行できちゃう脆弱性も危険度は高いな~と思いますが、
と思っています。
その一つが、パスワード。
パスワードを本人から聞き出したり、付箋に貼ってあるのを直接みたり、推測可能なパスワードだったため容易にログインできたりと、手法は様々。
特に推測されやすいパスワードの場合、本人が気づかない内に不正ログインされている場合もあります。
システム側も正規のログインと変わらないので、見分けがつかないという代物。
※ログイン元のPCやスマホ、IP帯で判断している場合もあり、一概に見分けがつかない訳ではないですが、正規ユーザなのか不正ログインなのかは、ユーザにしか判断できません。
そんな世界中で利用されているパスワードの2021年度版が出ていたので、見てみました。
ちなみに2020年は、過去にご紹介しております。
《過去記事》
では、いってみましょう~
2021年にもっとも利用されたパスワードTOP10
<世界TOP10>
| 1位 | 123456 |
|---|---|
| 2位 | 123456789 |
| 3位 | 12345 |
| 4位 | qwerty |
| 5位 | password |
| 6位 | 12345678 |
| 7位 | 111111 |
| 8位 | 123123 |
| 9位 | 1234567890 |
| 10位 | 1234567 |
数字の順番が多すぎ(笑)
「qwerty」もキーボードの左から順番に打っただけですし、パスワードに「password」も良く見るやつですね。
パスワードの文化は、2021年もそれほど変化がないようです。
日本でのTOP10も見てみましょう。
<日本TOP10>
| 1位 | password |
|---|---|
| 2位 | 123456 |
| 3位 | 123456789 |
| 4位 | 12345678 |
| 5位 | 1qaz2wsx |
| 6位 | member |
| 7位 | asdfghjk |
| 8位 | 12345 |
| 9位 | password1 |
| 10位 | 1234567890 |
なんと日本の1位は「password」という結果に・・・
9位に「password1」というのが入ってるのがまた良いですね。「password」は危険だから、1を末尾に付けとこう!という精神。
日本人のわびさびですね。
世界と比べても、半分くらいは一致する形です。「member」がちょっと異質な感じがします。なにかの初期パスワードなんでしょうか・・・
イタリアが個人的に好きなので、イタリアのTOP10も見てみます。
<イタリアTOP10>
| 1位 | 123456 |
|---|---|
| 2位 | 123456789 |
| 3位 | 12345 |
| 4位 | 12345678 |
| 5位 | qwerty |
| 6位 | juventus |
| 7位 | 000000 |
| 8位 | password |
| 9位 | andrea |
| 10位 | napoli |
数字の順番は世界共通。
「juventus」は、サッカーチームのユベントスですね。さすがイタリア。セリアAで現在7位!!パスワードランキングは6位!!
「andrea」は良くわからないですね。ググったらイタリア人の男性名と出ました。日本でいうところの太郎みたいな感じ?
「napoli」は都市のナポリか、サッカーチームのようです。セリエAで4位!!パスワードランキングは9位!!
総論として、イタリアはサッカーチームが多いという結果になりました。
安全なパスワードは?
少なくとも、TOP200に入るようなありふれたものは安全ではないでしょう。
攻撃者も、こうして漏洩したパスワードをリストにして、どこかから入手してきたメールアドレスと共にパスワードリスト型攻撃を仕掛けるので、リスクが大きいです。
上記でご紹介しているTOP200を見てもらえばわかる通り、
- 数字の順番
- キーボードの順番
- 単語そのまま
- 人の名前
- 単語を単純に2回続ける(takatakaとか)
こういうのはすぐ突破されるというわけです。
個人的には
- アルファベットの「o」を数字の「0」にする
- 「$」「#」「%」などの記号を入れる
- どこか1文字を大文字にする
みたいなギミックを取り入れれば、強度は高まると思います。
パスワード管理できない!!って人は「1password」のようなパスワード管理ツールで管理することも視野にいれるべきかなと思いますが、
パスワード管理ツールから情報搾取されたときに目も当てられないな・・・というのが、私の印象です。
やるなら、紙媒体に残して、家用と外出用で2つ管理するくらいかな~。
そういえば、メモアプリを使ったパスワード管理の注意喚起も出てました。
まあ、パスワード管理ツールはそういった攻撃に対して、かなりの防御を固めていると思いますし、リスクを飲みつつ利便性を取るのは全然悪くないと思います。
ではでは
