IT関連

2021年に良く使われたパスワード(危険なパスワードTOP10)

おはようございます。こんにちは。こんばんは。
ミッド(@mid_v_lab)です

「Apache Log4j」という任意のコードを実行できる脆弱性で、セキュリティ界隈では盛り上がっております。

個人的にはこういうリモートで実行できちゃう脆弱性も危険度は高いな~と思いますが、

ミッド
ミッド
人を騙して、正規の手段で侵入するのが一番ヤバい!!

と思っています。

その一つが、パスワード。

パスワードを本人から聞き出したり、付箋に貼ってあるのを直接みたり、推測可能なパスワードだったため容易にログインできたりと、手法は様々。

特に推測されやすいパスワードの場合、本人が気づかない内に不正ログインされている場合もあります。

システム側も正規のログインと変わらないので、見分けがつかないという代物。

※ログイン元のPCやスマホ、IP帯で判断している場合もあり、一概に見分けがつかない訳ではないですが、正規ユーザなのか不正ログインなのかは、ユーザにしか判断できません。

そんな世界中で利用されているパスワードの2021年度版が出ていたので、見てみました。

ちなみに2020年は、過去にご紹介しております。

では、いってみましょう~

2021年にもっとも利用されたパスワードTOP10

<世界TOP10>

1位 123456
2位 123456789
3位 12345
4位 qwerty
5位 password
6位 12345678
7位 111111
8位 123123
9位 1234567890
10位 1234567

数字の順番が多すぎ(笑)

「qwerty」もキーボードの左から順番に打っただけですし、パスワードに「password」も良く見るやつですね。

パスワードの文化は、2021年もそれほど変化がないようです。

日本でのTOP10も見てみましょう。

<日本TOP10>

1位 password
2位 123456
3位 123456789
4位 12345678
5位 1qaz2wsx
6位 member
7位 asdfghjk
8位 12345
9位 password1
10位 1234567890

なんと日本の1位は「password」という結果に・・・

9位に「password1」というのが入ってるのがまた良いですね。「password」は危険だから、1を末尾に付けとこう!という精神。

日本人のわびさびですね。

世界と比べても、半分くらいは一致する形です。「member」がちょっと異質な感じがします。なにかの初期パスワードなんでしょうか・・・

イタリアが個人的に好きなので、イタリアのTOP10も見てみます。

<イタリアTOP10>

1位 123456
2位 123456789
3位 12345
4位 12345678
5位 qwerty
6位 juventus
7位 000000
8位 password
9位 andrea
10位 napoli

数字の順番は世界共通。

「juventus」は、サッカーチームのユベントスですね。さすがイタリア。セリアAで現在7位!!パスワードランキングは6位!!

「andrea」は良くわからないですね。ググったらイタリア人の男性名と出ました。日本でいうところの太郎みたいな感じ?

「napoli」は都市のナポリか、サッカーチームのようです。セリエAで4位!!パスワードランキングは9位!!

総論として、イタリアはサッカーチームが多いという結果になりました。

安全なパスワードは?

少なくとも、TOP200に入るようなありふれたものは安全ではないでしょう。

攻撃者も、こうして漏洩したパスワードをリストにして、どこかから入手してきたメールアドレスと共にパスワードリスト型攻撃を仕掛けるので、リスクが大きいです。

上記でご紹介しているTOP200を見てもらえばわかる通り、

  • 数字の順番
  • キーボードの順番
  • 単語そのまま
  • 人の名前
  • 単語を単純に2回続ける(takatakaとか)

こういうのはすぐ突破されるというわけです。

個人的には

  • アルファベットの「o」を数字の「0」にする
  • 「$」「#」「%」などの記号を入れる
  • どこか1文字を大文字にする

みたいなギミックを取り入れれば、強度は高まると思います。

パスワード管理できない!!って人は「1password」のようなパスワード管理ツールで管理することも視野にいれるべきかなと思いますが、

パスワード管理ツールから情報搾取されたときに目も当てられないな・・・というのが、私の印象です。

やるなら、紙媒体に残して、家用と外出用で2つ管理するくらいかな~。

そういえば、メモアプリを使ったパスワード管理の注意喚起も出てました。

まあ、パスワード管理ツールはそういった攻撃に対して、かなりの防御を固めていると思いますし、リスクを飲みつつ利便性を取るのは全然悪くないと思います。


 

ではでは

にほんブログ村 サラリーマン日記ブログ IT系サラリーマンへ
PVアクセスランキング にほんブログ村