fbpx

【2020年最新】「最悪のパスワードのリスト」~使ってはいけない最弱パスワード上位50発表

【2020最新】「最悪のパスワードのリスト」~使ってはダメなパスワード上位50
「簡単なパスワード」や「使い回したパスワード」を使うことは「自宅の鍵をばらまく」に等しい最も危険な行為です。
しかし不正ログインなど多くのサイバー犯罪の原因にもかかわらず、相変わらず危険なパスワードを使ってしまう人はなくなりません。

2020年最新の「最悪なパスワードリスト」をご披露し、危険なパスワードとは何か?またパスワードの対策として安全なパスワードの作り方をわかりやすく解説します。
/ins>

発表された「2020年世界上位200の最悪のパスワード」

「今どき123456なんてパスワードを使う人がいるのか?」と思ったら、、、、、

世界的なセキュリティサービスNordPassを提供しているNordVPN社が「2020年の最悪の200個のパスワード」を発表しました。

さすがに今時、大切なサービスのパスワードに「123456」とか「password」なんか使う人がいるのかなと思ってしまいますが、これが「たくさんいる」のです。

前年1位の「12345」こそ8位に落ちましたが、「123456」と「123456789」は不動のトップです!

なお2018年23位、2019年は34位だった「donald=ドナルド(トランプ大統領のファーストネーム)」は、今年は200位の圏外になってしまいました。

今回の順位表では「パスワードが解析されて破られる時間」も載せました。

単純なパスワードは一瞬で解析され、意味を成さないことがお分かりいただけるでしょう。

順位状態前年順位パスワード使用者数解析される時間悪用された回数備考
12(+1)1234562,543,285一瞬23,597,311 
23(+1)123456789961,435一瞬7,870,694 
3newpicture1371,6123時間11,190 
45(+1)password360,467一瞬3,759,315 
56(+1)12345678322,187一瞬2,944,615 
617(+11)111111230,507一瞬3,124,368 
718(+11)123123189,327一瞬2,238,694 
81(-7)12345188,268一瞬2,389,787 
911(+2)1234567890171,724一瞬2,264,884 
10newsenha167,72810秒8,213ポルトガル語でパスワード
1112(+1)1234567165,909一瞬2,516,606 
121(-11)qwerty156,765一瞬3,946,737キーボード文字順
1316(+3)abc123151,804一瞬2,877,689 
14newMillion2143,6643時間162,609 
1528(+13)000000122,982一瞬1,959,780 
1615(-1)1234112,297一瞬1,296,186 
1714(-3)iloveyou106,327一瞬1,645,337 
18newaaron43190,2563時間30,576 
1929(+10)password187,556一瞬2,418,984 
20newqqww112285,47652分122,481 
21199(+178)12384,438一瞬1,042,952 
22newomgpop77,4922分334 人気ソーシャルゲーム
2339(+16)12332173,506一瞬928,060 
2436(+12)65432169,148一瞬953,549 
2522(-3)qwertyuiop64,632一瞬1,108,463キーボード文字順
26newqwer12345658,0964秒5,339 
27158(+131)123456a57,472一瞬980,190 
28197(+169)a12345655,548一瞬684,476 
2957(+28)66666653,146一瞬889,482 
3035(+5)asdfghjkl52,961一瞬547,528キーボード文字順
3126(-5)ashley52,0312分440,413 
3258(+26)98765432150,097一瞬599,177キーボード文字順
33newunknown47,99517分28,930 
3465(+31)zxcvbnm46,952一瞬592,416 
3554(+19)11223346,450一瞬543,303 
36newchatbooks45,8831日0米の写真プリントサービス名
37new2010072844,914一瞬3,468 
38147(+109)12312312342,781一瞬505,507 
3921(-18)princess42,230一瞬489,024 
40newjacket02541,9098時間44,594 
41newevite41,72010秒14,941 
42122(+80)123abc40,431一瞬648,551 
43111(+68)123qwe40,203一瞬726,928 
4423(-21)sunshine39,456一瞬418,052 
4567(+22)12121239,342一瞬741,345 
467(-39)dragon39,011一瞬984,209 
4714(-33)1q2w3e4r38,865一瞬658,945キーボード文字順
48new520131438,30726秒236,311中国語の、我爱你一生一世「あなたを一生愛す」と同音
49168(+119)15975338,028一瞬442,018キーボード文字順4
503(-47)12345678937,280一瞬7,870,694 

[原典] https://nordpass.com/most-common-passwords-list/

しかしこのリストを見ると、あまりに簡単なものは論外としても、「qwertyuiop 」のような一見複雑そうでも「キーボードで並んでいるキーをqから右に順番に打っただけ」といった、誰でも気がつきそうなパスワードが相変わらず使われていて驚きます。

2019年の「使ってはいけないパスワード」

ブログ内の関連記事(新しいウィンドウで開きます)

うっかり「簡単なパスワード」「使い回したパスワード」を使うことが、いかに危険なことなのか!そのリスクはデジタル終活どころではありません。大切なデジタル遺品やデジタル遺産もいつ盗まれてしまうか分かりません。2019年最新版の「最悪なパスワ[…]

今年の「最悪のパスワード」の特徴

人名や地名といった固有名詞や一般的な言葉が激減した

donaldもそうですが、毎年必ず上位を占めていた「地名や人名といった固有名詞(jordan、michael、thomas)」や一般的な名詞(例、football、picture、welcome、lovely )が順位を落とし、新しい顔ぶれの一般的でない単語が増えました。

これは「ユーザーの意識が高まった」のではなく、セキュリティ対策が進んで「きちんとしたサービスでは良く使われる単語はパスワードとして受け入れられなくなったから」だと思われます。

そこで早速「picture」が受け付けられないため、「1をつけてpicture1にする」といった「姑息なつけ方」が目立って3位と上位入りしています。

しかしセキュリティが甘く規制がない多くのサービスでは、いまだに意識が低い人が使い続けるため「123456」といった「不動の最悪パスワード」は変わらず上位に登場しています。

一見難しそうなパスワードも悪用されている

たとえば「aaron431」「jacket025」「chatbooks」といった一般的でない言葉のパスワードも、また「20100728」のような日付も上位に顔を出しています。

パスワードはしばしば流出し、集められてリスト化され、ブラックマーケットで販売されています。

いかに類推されにくい単語でも、たまたま多くの人が使っていて流出の機会が増えれば、すぐに「危険なパスワード」になってしまいます。

 

ますます増える「パスワード単語リスト」と不正ログイン

思いつく単語のほとんどはリスト化されて犯罪者間に出回っている

怖いのはこのようなパスワードは闇市場(ダークウェブ)に流れている「パスワード候補の単語リスト」に掲載されてしまっていること。

上記のような誰でも推察できるパスワードもちろん「日常生活で良くつかわれる単語」「有名人の名前」「一般的な人名や地名」「流行語」「有名なポップミュージックの曲名」そして「多くの人にたまたま使われている日付などの単語」など、およそ思いつくであろうすべての単語を網羅した膨大なパスワードが、きれいにリスト化され出回っているのです。

専門機関によると、なんと「パスワード候補リストには数億の単語が乗って」いて「それを今でもパスワードとして今も数百万人の人が使っている」といわれます。

不正に入手したユーザーの氏名、住所、生年月日、口座、暗証番号、パスワードなどをセットにしてリスト化した情報は「Fullz」(フルズ)と呼ばれて、ブラックマーケットで盛んに流通しています。

ハッカー達はパスワードリスト(Fullz)の更新は「自分のテクニックを誇示すると共に大きな収益を生む源泉なので」リストの精度は日々向上しています。

また別の記事では、悪意のハッカー達が情報をやりとりする秘密のネットワーク「ダークウェブ」上にはもっと恐ろしいリストが存在していることも分かっています。保存されていたアカウントは14億個!

研究チームが2017年12月5日に発見した。ディープWebやダークWeb(いずれも通常のブラウザで参照できない情報)をスキャンして、流出や紛失、盗難に遭ったデータを探していた。
41GBのリポジトリには、14億個の盗まれた認証情報が平文(暗号化されていない誰でも読める形)で保存されていた。これらは過去に起きた252件の流出事件から集められた情報で、世界最大級のビジネス特化型SNS(ソーシャル・ネットワーキング・サービス)であるLinkedInや、テキストデータを保存し公開することができるWebアプリケーションサービスPastebinなどから流出した情報も含まれていた。

これは単なるリストではない。総合的な双方向データベースであり、高速検索(反応時間1秒)や新たな流出情報の取り込みもできる。ユーザーが電子メールやソーシャルメディア、電子商取引、銀行、仕事用のアカウントで同じパスワードを使い回している現状を考えると、犯罪集団がアカウント乗っ取りやアカウント奪取を自動化することもできる。このデータベースは、パスワードの発見をかつてないほど高速かつ容易にした。たとえば管理者が利用する『admin』『administrator』『root』というパスワードを検索すると、わずか数秒で22万6631件がヒットした」

■引用

 

何千回、何万回でもパスワードを入れ替えて執拗に攻撃する「総当たり攻撃」とは?

悪意の侵入者は、照合ブログラムを使って使えそうなIDとパスワードを片っ端から試してしまいます。

このような「総当たり攻撃」手法を「ブルートフォース(brute force)アタック」といい、コンピューターを使い、何千何万件の単語リストでもあっという間に照合されます。

その結果こそが、毎日のように発生している「不正ログイン」や「不正使用」といったサイバー犯罪なのです。

銀行キャッシュカードの暗証番号は通常4桁です。
人による操作で4桁をしらみつぶしに入力し暗証番号を見つけることは手間がかかりますが、コンピューターを使えば(コンピューターで入力でき、入力ミスが多数出ても取引が止められないならば)、簡単に暗証番号を見つけることができます。

システムへの侵入するためのパスワードは、通常4桁ではなくもっと長いパスワードを利用していますが、時間的制約がない限りは時間をかければ確実に解読することが可能です。
たとえば、6文字のパスワードを破るまでに約14−15秒程度しか掛かりません。

■出展:マカフィー社ブログ

対策を打っても新しい攻撃との「いたちごっこ」が続いている

もちろん一般のオンラインサービスでは「総当たり攻撃」を防ぐために、「パスワードを繰り返し入れて試行錯誤することができない」処理を追加しています

ところが犯人達も続々新しい攻撃方法を考えて対抗しています。

次々に新たな攻撃方法が現れて、「対策と攻撃のいたちごっこ」状態になっているのが率直な現実です。

さらにコンピューターの処理能力の向上が著しいため、パスワードを総当たりの所要時間もどんどん短くなり、一昔前は「1日がかり」だった処理が「数分」単位で終わる事態にもなりつつあります。

さらにコンピューターの処理速度の向上は、今後さらに発展しますので、しっかりしたパスワードを設定しておかないと、今は大丈夫でも、近い将来は「簡単に解析されてしまう」リスクもあるのです。

あなたのパスワードを推測して使おうとするのは、家族や友人など実は身近な人かも、、、、

またパスワードの推測や盗用は、悪意のハッカーだけでなく、あなたの誕生日をはじめとするプライベート情報をよく知っている「身近な誰か」が軽い気持ちで試してしまうかもしれません。

事実、パスワードの盗用は家族や友人など身近な人の犯行が多いのです。

ブログ内の関連記事(新しいウィンドウで開きます)

 2019年7月16日、オバマ前大統領やビル・ゲイツ氏など世界的な有名人の公式アカウントが乗っ取られ、偽Twitterメッセージが全世界に送られて大きな被害が発生しました。「犯行の手口はソーシャルエンジニアリング」とされています。ソ[…]

socialengineering ソーシャルエンジニアリングのイメージ

またあなたが不用意にパスワードをメモしたものを、盗み見られている(ソーシャルエンジニアリングと言います)かもしれません。

身近な方に悪意はなくても、そこを経路に外部の悪人にもれてしまうこともあります。

 

パスワードを安全に使うには?

単語のパスワードはもう無理、組み合わせたパスフレーズを使おう

  • 「パスワードは8文字以上、英数字/大文字/小文字と記号をまぜた複雑なもので」
  • 「パスワードは定期的に変更しよう」

は古い常識で、今では間違っています。

現在の正しいパスワードの常識は

  • パスワードは少なく12文字から14文字以上が必要。

です。

また長いパスワードにすれば、英数字/大文字/小文字と記号をまぜる必要はなく、定期的な変更も必要ありません

以上の事から、覚えられない意味不明のパスワード」を作ることを止め、「自分だけが分かる覚えやすいパスフレーズ」を作るようにしましょう。

パスフレーズと私だけが知る「マイルール」で万全のパスワード管理を

「パスワードに変わるパスフレーズ」は、自分が覚えやすい文章や単語を組み合わせて、長い文を作り、それを自分だけのルールを使って作ります。

たとえば

夏までにあと4キロやせるぞ!na2made2ato4kirooyaseruzo! (17文字、マイルールでtsuを2、niも2、最後に「!」をつけます)

です。

また、こうやって作った長くて強いパスワードを、自分だけの法則をつけて、多数のバリエーションを作り、多くのアカウントのパスワードを安全に覚えて使うことも可能になります。

詳しくは当社の下記ブログをご参照ください。

ブログ内の関連記事(新しいウィンドウで開きます)

パスワードには古い常識が残っています。今では「8文字(8桁)のパスワード」はかなり危険ですし、逆に強いパスワードを作れば定期的な変更は必要ありません。「長いパスワードの必要性」と「簡単で忘れにくいパスワードの作り方」そして「3つの要[…]

長くて安全なパスワードを作るヒント

結局パスワードマネージャー(パスワード管理ツール/アプリ)がすべてのパスワード問題を解決する

上の方法をマスターすれば、ある程度の数まではなんとか記憶やメモで対応できます。

しかし覚えるべきパスワードが100もあったらとても不可能です。

Digital Keeperがおすすめするのは、やはり「パスワードマネージャー(パスワード管理ツール/アプリ)」の使用です。

【メリット1】パスワードを使う「安全性」と「便利さ」を両立してくれる優れもの

パスワードマネージャー(パスワード管理ツール)を使うためのマスターパスワードをひとつ覚えておくだけで、以下のような機能を提供してくれます。

  • あなたに代わってアカウントのIDやパスワードを安全・確実に記録し保管する。
  • スマホ(iPhone、Android)でもパソコンでも、アプリでも、すべての端末やサービスで利用できる。
  • あなたがアカウントを使う時、記録したIDやパスワードのアカウント情報を呼び出し、教えてくれる。
  • 新規にアカウントを作るとき、あなたの代わりに「安全で推測不可能なパスワード」を生成して提案し保管してくれる。

【メリット2】重要情報の保管場所としても最適

またIDとパスワードの管理だけでなく、さまざまな重要情報、秘密情報もありますが、パスワードマネージャー(パスワード管理ツール)は、情報の安全な秘密金庫としての役割も果たしてくれます。

  • 預かっているアカウント情報をチェックし、安全度が低いパスワードや、流出しているアカウントの情報を教え、変更をすすめてくれる。
  • アカウント情報だけでなく、クレジッカード情報や銀行口座情報などの機密情報を安全に保管し、「支払でカード情報を入力」「住所を入力」する時、あなたに代わって入力を代行してくれる。
  • 安全に保管したいデータ(文字情報、ExcelやWordのデータファイルなどPCで扱える形式のもの)を、安全に保管する情報金庫の機能もある。

今やパスワードマネージャーを使わない理由はありません!!

詳しくは当ブログの記事をご覧ください。

ブログ内の関連記事(新しいウィンドウで開きます)

強固なパスワードをあなたに代わって生成し安全に保管し、入力も代行してくれる「パスワードマネージャー(パスワード管理ツール)」は、パスワードに関する悩みを解消するだけでなく、秘密情報の保管場所としても利用できる、まさに現代の必需品です。今[…]

ブログ内の関連記事(新しいウィンドウで開きます)

「大切なパスワードをパスワードマネージャー(パスワード管理ツール)なんかに預けて大丈夫?」「クラウド保管は危ないのでは?」と不安な方も多いと思います。しかし実はパスワード管理はツールやクラウドを使った方がはるかに安全で便利です。現実的に[…]

 

まとめ:
簡単なパスワードを使うのは論外!本当に危険な行為なのです

以上のことから、類推されそうな簡単なパスワードを使うことは、「簡単に破られてとんでもないリスクがある行為」だとご理解いただけると思います。

ぜひアカウントのパスワードを総チェックしましょう。

それこそがあなたがこれからデジタルを安心して使うことにつながり、「平穏な生活を守る鍵」となります。そして「デジタル遺産やデジタル遺品を守る鍵」ともなるのです。

ブログ内の関連記事(新しいウィンドウで開きます)

パスワードには「使っただけで危険」な言葉や、避けるべき文字の使い方があります。安全なパスワード管理は、まず「ダメ言葉」を理解してはじめましょう。ダメな言葉を使ったパスワードはいずれ破られて悪用されるリスクが高く、デジタル遺品やデジタル遺[…]

ブログ内の関連記事(新しいウィンドウで開きます)

いくら安全でも、記憶できないパスワードは使えません。異常気象や地震、新型コロナなど、思いもかけないリスクが高まった今日、安全性と利便性を両立された「最強のパスワード管理の方法」を具体的にご説明します。安全なパスワードは作っても、どう[…]