しかし不正ログインなど多くのサイバー犯罪の原因にもかかわらず、相変わらず危険なパスワードを使ってしまう人はなくなりません。
2020年最新の「最悪なパスワードリスト」をご披露し、危険なパスワードとは何か?またパスワードの対策として安全なパスワードの作り方をわかりやすく解説します。
発表された「2020年世界上位200の最悪のパスワード」
「今どき123456をパスワードを使う人がいるのか?」と思ったら、、、、、
順位は変動したが顔ぶれは変わらない
世界的なセキュリティサービスNordPassを提供しているNordVPN社が、恒例の「2020年の最悪の200個のパスワード」を発表しました。
さすがに今時、大切なサービスのパスワードに「123456」とか「password」なんか使う人がいるのかなと思いますが、これが「たくさんいる」のです。
前年1位の「12345」こそ8位に落ちましたが、「123456」と「123456789」は不動のトップです!
なお2018年23位、2019年は34位だった「donald=ドナルド(トランプ大統領のファーストネーム)」は、今年は200位の圏外になってしまいました。
「2020年の最悪の200個のパスワード」の50位までの一覧リスト
順位表には「パスワードが解析されて破られる時間」も書かれています。
単純なパスワードは一瞬で解析され「無意味」ないことがお分かりいただけるでしょう。
| 順位 | 状態 | 前年順位 | パスワード | 使用者数 | 解析される時間 | 悪用された回数 | 備考 |
| 1 | ↑ | 2(+1) | 123456 | 2,543,285 | 一瞬 | 23,597,311 | |
| 2 | ↑ | 3(+1) | 123456789 | 961,435 | 一瞬 | 7,870,694 | |
| 3 | new | picture1 | 371,612 | 3時間 | 11,190 | ||
| 4 | ↑ | 5(+1) | password | 360,467 | 一瞬 | 3,759,315 | |
| 5 | ↑ | 6(+1) | 12345678 | 322,187 | 一瞬 | 2,944,615 | |
| 6 | ↑ | 17(+11) | 111111 | 230,507 | 一瞬 | 3,124,368 | |
| 7 | ↑ | 18(+11) | 123123 | 189,327 | 一瞬 | 2,238,694 | |
| 8 | ↓ | 1(-7) | 12345 | 188,268 | 一瞬 | 2,389,787 | |
| 9 | ↑ | 11(+2) | 1234567890 | 171,724 | 一瞬 | 2,264,884 | |
| 10 | new | senha | 167,728 | 10秒 | 8,213 | ポルトガル語でパスワード | |
| 11 | ↑ | 12(+1) | 1234567 | 165,909 | 一瞬 | 2,516,606 | |
| 12 | ↓ | 1(-11) | qwerty | 156,765 | 一瞬 | 3,946,737 | キーボード文字順 |
| 13 | ↑ | 16(+3) | abc123 | 151,804 | 一瞬 | 2,877,689 | |
| 14 | new | Million2 | 143,664 | 3時間 | 162,609 | ||
| 15 | ↑ | 28(+13) | 000000 | 122,982 | 一瞬 | 1,959,780 | |
| 16 | ↓ | 15(-1) | 1234 | 112,297 | 一瞬 | 1,296,186 | |
| 17 | ↓ | 14(-3) | iloveyou | 106,327 | 一瞬 | 1,645,337 | |
| 18 | new | aaron431 | 90,256 | 3時間 | 30,576 | ||
| 19 | ↑ | 29(+10) | password1 | 87,556 | 一瞬 | 2,418,984 | |
| 20 | new | qqww1122 | 85,476 | 52分 | 122,481 | ||
| 21 | ↑ | 199(+178) | 123 | 84,438 | 一瞬 | 1,042,952 | |
| 22 | new | omgpop | 77,492 | 2分 | 334 | 人気ソーシャルゲーム | |
| 23 | ↑ | 39(+16) | 123321 | 73,506 | 一瞬 | 928,060 | |
| 24 | ↑ | 36(+12) | 654321 | 69,148 | 一瞬 | 953,549 | |
| 25 | ↓ | 22(-3) | qwertyuiop | 64,632 | 一瞬 | 1,108,463 | キーボード文字順 |
| 26 | new | qwer123456 | 58,096 | 4秒 | 5,339 | ||
| 27 | ↑ | 158(+131) | 123456a | 57,472 | 一瞬 | 980,190 | |
| 28 | ↑ | 197(+169) | a123456 | 55,548 | 一瞬 | 684,476 | |
| 29 | ↑ | 57(+28) | 666666 | 53,146 | 一瞬 | 889,482 | |
| 30 | ↑ | 35(+5) | asdfghjkl | 52,961 | 一瞬 | 547,528 | キーボード文字順 |
| 31 | ↓ | 26(-5) | ashley | 52,031 | 2分 | 440,413 | |
| 32 | ↑ | 58(+26) | 987654321 | 50,097 | 一瞬 | 599,177 | キーボード文字順 |
| 33 | new | unknown | 47,995 | 17分 | 28,930 | ||
| 34 | ↑ | 65(+31) | zxcvbnm | 46,952 | 一瞬 | 592,416 | |
| 35 | ↑ | 54(+19) | 112233 | 46,450 | 一瞬 | 543,303 | |
| 36 | new | chatbooks | 45,883 | 1日 | 0 | 米の写真プリントサービス名 | |
| 37 | new | 20100728 | 44,914 | 一瞬 | 3,468 | ||
| 38 | ↑ | 147(+109) | 123123123 | 42,781 | 一瞬 | 505,507 | |
| 39 | ↓ | 21(-18) | princess | 42,230 | 一瞬 | 489,024 | |
| 40 | new | jacket025 | 41,909 | 8時間 | 44,594 | ||
| 41 | new | evite | 41,720 | 10秒 | 14,941 | ||
| 42 | ↑ | 122(+80) | 123abc | 40,431 | 一瞬 | 648,551 | |
| 43 | ↑ | 111(+68) | 123qwe | 40,203 | 一瞬 | 726,928 | |
| 44 | ↓ | 23(-21) | sunshine | 39,456 | 一瞬 | 418,052 | |
| 45 | ↑ | 67(+22) | 121212 | 39,342 | 一瞬 | 741,345 | |
| 46 | ↑ | 7(-39) | dragon | 39,011 | 一瞬 | 984,209 | |
| 47 | ↑ | 14(-33) | 1q2w3e4r | 38,865 | 一瞬 | 658,945 | キーボード文字順 |
| 48 | new | 5201314 | 38,307 | 26秒 | 236,311 | 中国語の、我爱你一生一世「あなたを一生愛す」と同音 | |
| 49 | ↑ | 168(+119) | 159753 | 38,028 | 一瞬 | 442,018 | キーボード文字順4 |
| 50 | ↓ | 3(-47) | 123456789 | 37,280 | 一瞬 | 7,870,694 |
[原典] https://nordpass.com/most-common-passwords-list/
しかしこのリストを見ると、あまりに簡単なものは論外としても、「qwertyuiop 」のような一見複雑そうでも「キーボードで並んでいるキーをqから右に順番に打っただけ」といった、誰でも気がつきそうなパスワードが相変わらず使われていて驚きます。
2019年の「使ってはいけないパスワード」
うっかり「簡単なパスワード」「使い回したパスワード」を使うことが、いかに危険なことなのか!そのリスクはデジタル終活どころではありません。大切なデジタル遺品やデジタル遺産もいつ盗まれてしまうか分かりません。2019年最新版の「最悪なパスワ[…]
今年の「最悪のパスワード」の特徴
人名や地名といった固有名詞や一般的な言葉が激減した
donaldもそうですが、毎年必ず上位を占めていた「地名や人名といった固有名詞(jordan、michael、thomas)」や一般的な名詞(例、football、picture、welcome、lovely )が順位を落としました。
代わりに、新しい、一見一般的でない単語が増えました。
これは「ユーザーの意識が高まった」のではなく、セキュリティ対策が進んだサイトやサービスでは「良く使われる単語はパスワードとして受け入れられなくなったから」だと思われます。
そのため「picture」が受け付けられないため、「1をつけてpicture1にする」といった「姑息なつけ方」が目立って3位と上位入りしています。
しかし、セキュリティが甘く規制がないサービスでは、いまだに意識が低い人がそのまま使い続けるため「123456」といった「不動の最悪パスワード」は変わらず上位に登場しています。
一見難しそうなパスワードも悪用されている
たとえば「aaron431」「jacket025」「chatbooks」といった一般的でない言葉のパスワードも、また「20100728」のような日付も上位に顔を出しています。
パスワードはしばしば流出し、集められてリスト化され、ブラックマーケットで販売されています。
いかに類推されにくい単語でも、たまたま多くの人が使っていて流出の機会が増えれば、すぐに「危険なパスワード」になってしまいます。
日本人が使う最悪パスワードの特徴は「一見複雑なパスワード」を使うこと!
2020年6月、ITセキュリティ会社のソリトンが「日本人のパスワードランキング2020」[ソリトン社資料(PDF)]を発表しました。
海外とかなり様子が異なり、日本人の特性を表しているようです。
日本人の危険なパスワードの特徴は、
- 1位「123456」、3位「asdfghjk」、8位「1qaz2wsx」、17位「zxcvbnm」のようにキーボードの配列順のものが多い
- 9位「19980621」、14位「20121204」など日付が目立つ
- 11位に「jza90supra」とかつて人気だったトヨタのスープラの型番号が入る
などです。
まじめな日本人は海外のように、「あからさまに安易なパスワード」はあまり使わないようにしているようです。
しかし、一見複雑そうなパスワードも、多くの人が使えば流出してしまい、パスワードリストに掲載されてしまいますので、危険度は「123456」とあまり変わらないのです。
痛ましい「いじめによる自殺」の原因の1つが「安易なパスワード」
2020年12月の東京都町田市の小学校6年生がいじめを苦にして自殺した事件で、「安易な共通パスワードが原因の1つ」と報道されました。
この事件の舞台となった小学校では、全児童にタプレット端末を配布していましたが、IDは「児童の所属学級と出席番号を組み合わせたもの」、パスワードは「123456789」に統一してしまっていました。
そのため容易に他人になりすましができ、犯人や事実の追求が困難になってしまいました。
端末の配布と共に、幼い頃から「IDとパスワードの重要性」を児童に理解させることは、将来にわたって非常に大切だと思いますが、安易に使い回しを是認したことは非常に残念です。
教育のIT化の基本として、アカウントの重要性や正しいパスワードのつけ方をしっかりと教育すべきと思います。
ますます増える「パスワード単語リスト」と不正ログイン
思いつく単語のほとんどはリスト化されて犯罪者間に出回っている
怖いのはこのようなパスワードは闇市場(ダークウェブ)に流れている「パスワード候補の単語リスト」に掲載されてしまっていること。
上記のような誰でも推察できるパスワードもちろん「日常生活で良くつかわれる単語」「有名人の名前」「映画や主人公の名前」「一般的な人名や地名」「流行語」「有名なポップミュージックの曲名」そして「多くの人にたまたま使われている日付などの単語」など、およそ思いつくであろうすべての単語を網羅した膨大なパスワードが、きれいにリスト化され出回っているのです。
専門機関によると、なんと「パスワード候補リストには数億の単語が乗って」いて「それを今でもパスワードとして今も数百万人の人が使っている」といわれます。
不正に入手したユーザーの氏名、住所、生年月日、口座、暗証番号、パスワードなどをセットにしてリスト化した情報は「Fullz」(フルズ)と呼ばれて、ブラックマーケットで盛んに流通しています。
ハッカー達はパスワードリスト(Fullz)の更新は「自分のテクニックを誇示すると共に大きな収益を生む源泉なので」リストの精度は日々向上しています。
また別の記事では、悪意のハッカー達が情報をやりとりする秘密のネットワーク「ダークウェブ」上にはもっと恐ろしいリストが存在していることも分かっています。保存されていたアカウントは14億個!
研究チームが2017年12月5日に発見した。ディープWebやダークWeb(いずれも通常のブラウザで参照できない情報)をスキャンして、流出や紛失、盗難に遭ったデータを探していた。
41GBのリポジトリには、14億個の盗まれた認証情報が平文(暗号化されていない誰でも読める形)で保存されていた。これらは過去に起きた252件の流出事件から集められた情報で、世界最大級のビジネス特化型SNS(ソーシャル・ネットワーキング・サービス)であるLinkedInや、テキストデータを保存し公開することができるWebアプリケーションサービスPastebinなどから流出した情報も含まれていた。
これは単なるリストではない。総合的な双方向データベースであり、高速検索(反応時間1秒)や新たな流出情報の取り込みもできる。ユーザーが電子メールやソーシャルメディア、電子商取引、銀行、仕事用のアカウントで同じパスワードを使い回している現状を考えると、犯罪集団がアカウント乗っ取りやアカウント奪取を自動化することもできる。このデータベースは、パスワードの発見をかつてないほど高速かつ容易にした。たとえば管理者が利用する『admin』『administrator』『root』というパスワードを検索すると、わずか数秒で22万6631件がヒットした」
■引用
2021年6月、なんと84億件ものパスワードが載ったリストが押収された
アメリカのセキュリティ情報サイトCybernewsによると、2021年6月7日、史上最大規模のパスワードリストが発見されました。
「RockYou2021」と名付けられた84億件ものパスワードリストは、100GBにもなる巨大なデータで、過去の多くの情報流出や不正アクセスによって犯罪者に集められたものの集約ということです。
こうしたパスワードがパスワードリスト(ブルートフォース)攻撃に使われています。
なお、Cybernewsは、84億件のパスワードに自分のものが含まれていないか調べるサービスを開始しました。
Cybernewsは信頼できるサイトですので、念のためお調べください。
■Check if your password has been leaked(英文:パスワードが漏洩していないか確認する)
こうしたパスワードがパスワードリスト攻撃に使われています。
何千回、何万回でもパスワードを入れ替えて執拗に攻撃する「総当たり攻撃」とは?
悪意の侵入者は、照合ブログラムを使って使えそうなIDとパスワードを片っ端から試してしまいます。
このような「総当たり攻撃」手法を「ブルートフォース(brute force)アタック」といい、コンピューターを使い、何千何万件の単語リストでもあっという間に照合されます。
その結果こそが、毎日のように発生している「不正ログイン」や「不正使用」といったサイバー犯罪なのです。
銀行キャッシュカードの暗証番号は通常4桁です。
人による操作で4桁をしらみつぶしに入力し暗証番号を見つけることは手間がかかりますが、コンピューターを使えば(コンピューターで入力でき、入力ミスが多数出ても取引が止められないならば)、簡単に暗証番号を見つけることができます。
システムへの侵入するためのパスワードは、通常4桁ではなくもっと長いパスワードを利用していますが、時間的制約がない限りは時間をかければ確実に解読することが可能です。
たとえば、6文字のパスワードを破るまでに約14−15秒程度しか掛かりません。
■出展:マカフィー社ブログ
毎日のようなセキュリティ犯罪が発生しています。コジマ、イオンカード、三越伊勢丹、ヤマト運輸など大手のサイトがパスワードリスト攻撃により不正アクセスされ大きな被害を出してしまいました。ユーザーは防ぎようもないパスワードリスト攻撃(ブル[…]
対策を打っても新しい攻撃との「いたちごっこ」が続いている
もちろん一般のオンラインサービスでは「総当たり攻撃」を防ぐために、「パスワードを繰り返し入れて試行錯誤することができない」処理を追加しています
ところが犯人達も続々新しい攻撃方法を考えて対抗しています。
次々に新たな攻撃方法が現れて、「対策と攻撃のいたちごっこ」状態になっているのが率直な現実です。
さらにコンピューターの処理能力の向上が著しいため、パスワードを総当たりの所要時間もどんどん短くなり、一昔前は「1日がかり」だった処理が「数分」単位で終わる事態にもなりつつあります。
さらにコンピューターの処理速度の向上は、今後さらに発展しますので、しっかりしたパスワードを設定しておかないと、今は大丈夫でも、近い将来は「簡単に解析されてしまう」リスクもあるのです。
あなたのパスワードを推測して使おうとするのは、家族や友人など実は身近な人かも、、、、
またパスワードの推測や盗用は、悪意のハッカーだけでなく、あなたの誕生日をはじめとするプライベート情報をよく知っている「身近な誰か」が軽い気持ちで試してしまうかもしれません。
「ベットの名前」「家族の誕生日」「好きなスポーツチームの名前」、、これらはしばしばパスワードに使われることで知られ、身近な人なら簡単に推測されてしまう言葉です。
事実、パスワードの盗用は家族や友人など身近な人の犯行が多いのです。
2019年7月16日、オバマ前大統領やビル・ゲイツ氏など世界的な有名人の公式アカウントが乗っ取られ、偽Twitterメッセージが全世界に送られて大きな被害が発生しました。「犯行の手口はソーシャルエンジニアリング」とされています。ソ[…]
またあなたが不用意にパスワードをメモしたものを、盗み見られている(ソーシャルエンジニアリングと言います)かもしれません。
身近な方に悪意はなくても、そこを経路に外部の悪人にもれてしまうこともあります。
トランプ前大統領の Twitterの安易なパスワードが破られる!?
ここで話題を変えて、パスワードに関係したおもしろい話題をひとつ!
トランプ前大統領は、暴動事件でアカウントを取り消されるまでTwitterのヘビーユーザーだったのは知られていますが、2020年10月にオランダのセキュリティ専門家のVictor Gevers氏が「トランプ氏のTwitterのパスワードを見つけてハッキングした」と発表しました。
Gevers氏は2016年にもトランプ氏のパスワードを見破っています。その時のパスワードは「yourefired=お前は首だ」でした。
ご存知のように、このフレーズはトランプ氏が出演してていたテレビ番組の決まり文句で「そんな言葉を大切なパスワードにつかうなんて」とあきれてしまいました。
今回破られたのは「maga2020!」です。
magaとはトランプ氏が毎日のように叫んでいる「Make America Great Again」のことで、またしても類推されやすい言葉を安易に使っていたわけで、「一国の大統領の安全保障はどうなってるんだ」と笑ってしまいました。
Victor Gevers氏は悪用するのではなく、大統領のセキュリティに問題があることを指摘するために行ったので、犯罪には問われませんでした。
シークレットサービスから「知らせてくれてありがとう」と連絡があったそうです。
パスワードを安全に使うには?
単語のパスワードはもう無理、組み合わせたパスフレーズを使おう
- 「パスワードは8文字以上、英数字/大文字/小文字と記号をまぜた複雑なもので」
- 「パスワードは定期的に変更しよう」
は古い常識で、今では間違っています。
現在の正しいパスワードの常識は
- パスワードは少なく12文字から14文字以上が必要。
です。
また長いパスワードにすれば、英数字/大文字/小文字と記号をまぜる必要はなく、定期的な変更も必要ありません。
以上の事から、「覚えられない意味不明のパスワード」を作ることを止め、「自分だけが分かる覚えやすいパスフレーズ」を作るようにしましょう。
パスフレーズと私だけが知る「マイルール」で万全のパスワード管理を
「パスワードに変わるパスフレーズ」は、自分が覚えやすい文章や単語を組み合わせて、長い文を作り、それを自分だけのルールを使って作ります。
たとえば
です。
また、こうやって作った長くて強いパスワードを、自分だけの法則をつけて、多数のバリエーションを作り、多くのアカウントのパスワードを安全に覚えて使うことも可能になります。
詳しくは当社の下記ブログをご参照ください。
コンピューターの進歩によってパスワードの作り方の基準は変わっています。今では「8文字(8桁)のパスワードは弱くて危険」で「強いパスワードは定期的な変更は不要」が正しい考え方です。どうして8文字では危険なのか?最新の研究を元に、最強のパス[…]
結局パスワードマネージャー(パスワード管理ツール/アプリ)がすべてのパスワード問題を解決する
上の方法をマスターすれば、ある程度の数まではなんとか記憶やメモで対応できます。
しかし覚えるべきパスワードが100もあったらとても不可能です。
Digital Keeperがおすすめするのは、やはり「パスワードマネージャー(パスワード管理ツール/アプリ)」の使用です。
【メリット1】パスワードを使う「安全性」と「便利さ」を両立してくれる優れもの
パスワードマネージャー(パスワード管理ツール)を使うためのマスターパスワードをひとつ覚えておくだけで、以下のような機能を提供してくれます。
- あなたに代わってアカウントのIDやパスワードを安全・確実に記録し保管する。
- スマホ(iPhone、Android)でもパソコンでも、アプリでも、すべての端末やサービスで利用できる。
- あなたがアカウントを使う時、記録したIDやパスワードのアカウント情報を呼び出し、教えてくれる。
- 新規にアカウントを作るとき、あなたの代わりに「安全で推測不可能なパスワード」を生成して提案し保管してくれる。
【メリット2】重要情報の保管場所としても最適
またIDとパスワードの管理だけでなく、さまざまな重要情報、秘密情報もありますが、パスワードマネージャー(パスワード管理ツール)は、情報の安全な秘密金庫としての役割も果たしてくれます。
- 預かっているアカウント情報をチェックし、安全度が低いパスワードや、流出しているアカウントの情報を教え、変更をすすめてくれる。
- アカウント情報だけでなく、クレジッカード情報や銀行口座情報などの機密情報を安全に保管し、「支払でカード情報を入力」「住所を入力」する時、あなたに代わって入力を代行してくれる。
- 安全に保管したいデータ(文字情報、ExcelやWordのデータファイルなどPCで扱える形式のもの)を、安全に保管する情報金庫の機能もある。
今やパスワードマネージャーを使わない理由はありません!!
詳しくは当ブログの記事をご覧ください。
強固なパスワードをあなたに代わって生成し安全に保管し、入力も代行してくれる「パスワードマネージャー(パスワード管理ツール)」は、パスワードに関する悩みを解消するだけでなく、秘密情報の保管場所としても利用できる、まさに現代の必需品です。今[…]
「大切なパスワードをパスワードマネージャー(パスワード管理ツール)なんかに預けて大丈夫?」「クラウド保管は危ないのでは?」と不安な方も多いと思います。しかし実はパスワード管理はツールやクラウドを使った方がはるかに安全で便利です。現実的に[…]
まとめ:
簡単なパスワードを使うのは論外!本当に危険な行為なのです
以上のことから、類推されそうな簡単なパスワードを使うことは、「簡単に破られてとんでもないリスクがある行為」だとご理解いただけると思います。
ぜひアカウントのパスワードを総チェックしましょう。
それこそがあなたがこれからデジタルを安心して使うことにつながり、「平穏な生活を守る鍵」となります。そして「デジタル遺産やデジタル遺品を守る鍵」ともなるのです。
パスワードには「使っただけで危険」な単語や、避けるべき文字の使い方。組み合わせ方があります。安全なパスワードのために「使ってはいけない言葉」「悪いパスワード例」「危険な単語」「危険な組み合わせ」を知りましょう。犯罪者は何十億ものパス[…]
いくら安全でも、記憶できないパスワードは使えません。異常気象や地震、新型コロナなど、思いもかけないリスクが高まった今日、安全性と利便性を両立された「最強のパスワード管理の方法」を具体的にご説明します。安全なパスワードは作っても、どう[…]
