【2019年度版】使ってはいけない「最悪のパスワードのリスト」。donaldは今年どうなった?

うっかり「簡単なパスワード」「使い回したパスワード」を使うことが、いかに危険なことなのか!そのリスクはデジタル終活どころではありません。大切なデジタル遺品やデジタル遺産もいつ盗まれてしまうか分かりません。
2019年最新版の「最悪なパスワードリスト」と共に、わかりやすく解説します。

「2019年世界上位100」の最悪のパスワードから見た「あまりに大きなリスク」とは

2018年にはパスワードリスト入りした「donald」、2019年は?

さすがに今時、大切なサービスのパスワードに「123456」とか「password」といった、誰でも思いつく単語を使う人はいないと思います。

しかし、アメリカのセキュリティー会社SplashDataが毎年発表している「最悪パスワード上位100の2019年版」を見たところ、あいかわらず「123456」が不動の一位です。昨年度のリストと比較しても改善された様子はありません。不動の一位は別としても、ますます雑なパスワードが増えている印象です
昨年23位に登場した「donald=ドナルド(トランプ大統領のファーストネーム)」は、今年は34位に転落しました。次回の大統領選挙の結果が占えるかもしれません。

「最悪パスワード100の2019年版」より
順位 パスワード 順位 パスワード 順位 パスワード
1位 123456 (前年と同じ) 11位 abc123 (15位からアップ) 21位 888888(新登場)
2位 123456789 (3位からアップ) 12位 qwerty123 (昨年新登場25位から大幅アップ) 22位 princess (11位からダウン)
3位 qwerty (9位からアップ) 13位 1q2w3e4r(新登場) 23位 dragon(新登場)
4位 password (1つダウン) 14位 admin (12位からダウン) 24位 password1 (昨年と同じ)
5位 1234567 (7位からアップ) 15位 qwertyuiop(新登場) 25位 123qwe(新登場)
6位 12345678 (3位からダウン) 16位 654321 (19位からアップ) sunshine (昨年8位→30位)
welcome (昨年13位→34位)
666666 (昨年14位→26位)
football(昨年16位→36位)
monkey(昨年18位→圏外)
654321(昨年19位→42位)
!@#$%^&*(昨年20位→圏外)
charlie (昨年21位→37位)
aa123456(昨年22位→41位)
donald (昨年28位→34位)
7位 12345 (5位からダウン) 17位 555555(新登場)
8位 iloveyou (10位からアップ) 18位 lovely(新登場)
9位 111111 (6位からダウン) 19位 7777777(新登場)
10位 123123 (17位から大幅アップ) 20位 welcome (5つダウン)

[原典] https://www.teamsid.com/1-50-worst-passwords-2019/

しかしこのリストを見ると、あまりに簡単なものは論外としても、「qwertyuiop 」のように一見複雑そうでも「キーボードで並んでいるキーをqから右に順番に打っただけ」といった、簡単にバレてしまうようなパスワードが相変わらず使われていて驚きます。

 

流通している「パスワード単語リスト」の現状

怖いのはこのようなパスワードは闇市場に流れている「パスワード候補の単語リスト」に掲載されてしまっていること。
上記のような誰でも推察できるパスワードもちろん「日常生活で良くつかわれる単語」「有名人の名前」「一般的な人名や地名」「流行語」「有名なポップミュージックの曲名」など、およそ思いつくであろうすべての単語を網羅した膨大なパスワードが、きれいにリスト化され出回っているのです。

上記の会社によると、なんと「パスワード候補リストには500万件もの単語が乗って」いて「それをパスワードとして今も数百万人の人が使っている」と言う現実です。

また別の記事では、悪意のハッカー達が情報をやりとりする秘密のネットワーク「ダークウェブ」上にはもっと恐ろしいリストが存在していることも分かっています。保存されていたアカウントは14億個!
しかしきちんと整理されて、高速に検索すめためにデータベース化されていたそうです。

研究チームが2017年12月5日に発見した。ディープWebやダークWeb(いずれも通常のブラウザで参照できない情報)をスキャンして、流出や紛失、盗難に遭ったデータを探していた。
41GBのリポジトリには、14億個の盗まれた認証情報が平文(暗号化されていない誰でも読める形)で保存されていた。これらは過去に起きた252件の流出事件から集められた情報で、世界最大級のビジネス特化型SNS(ソーシャル・ネットワーキング・サービス)であるLinkedInや、テキストデータを保存し公開することができるWebアプリケーションサービスPastebinなどから流出した情報も含まれていた。

これは単なるリストではない。総合的な双方向データベースであり、高速検索(反応時間1秒)や新たな流出情報の取り込みもできる。ユーザーが電子メールやソーシャルメディア、電子商取引、銀行、仕事用のアカウントで同じパスワードを使い回している現状を考えると、犯罪集団がアカウント乗っ取りやアカウント奪取を自動化することもできる。このデータベースは、パスワードの発見をかつてないほど高速かつ容易にした。例えば管理者が利用する『admin』『administrator』『root』というパスワードを検索すると、わずか数秒で22万6631件がヒットした」

■引用

 

何千回、何万回でもパスワードを入れ替えて執拗に攻撃する「総当たり攻撃」とは?

悪意の侵入者は、照合プログラムを使って使えそうなIDとパスワードを片っ端から試してしまいます。
このような「総当たり攻撃」手法を「ブルートフォース(brute force)アタック」といい、何千何万件の単語リストでもあっという間に照合されます。

銀行キャッシュカードの暗証番号は通常4桁です。
人による操作で4桁をしらみつぶしに入力し暗証番号を見つけることは手間がかかりますが、コンピューターを使えば(コンピューターで入力でき、入力ミスが多数出ても取引が止められないならば)、簡単に暗証番号を見つけることができます。

システムへの侵入するためのパスワードは、通常4桁ではなくもっと長いパスワードを利用していますが、時間的制約がない限りは時間をかければ確実に解読することが可能です。
例えば、6文字のパスワードを破るまでに約14−15秒程度しか掛かりません。

対策を打っても打っても、新しい攻撃との「いたちごっこ」が続いている

もちろん一般のオンラインサービスでは「総当たり攻撃」を防ぐために、「パスワードを繰り返し入れて試行錯誤することができない」処理を追加しています。
そのため「うっかりパスワードを何度か間違えてロックされてしまった」経験はどなたもお持ちでしょう。

ところが悪意のハッカーも続々新しい攻撃方法を考えて対抗しています。

例えば下記の攻撃方法は、少しやり方を変えた新たな攻撃方法です。
「ひとつのIDに、次から次へと違うパスワードを当てていく」今までのやり方ではなく、「パスワードとIDの一組を組み合わせたセット」を次々と入力していき、システムの防御策をだまして総当たりを実現させようとするものです。

これはほんの一例ですが、次々に新たな攻撃方法が現れて、「対策と攻撃のいたちごっこ」状態になっているのが率直な現実です。

更にコンピューターの処理能力の向上が著しいため、パスワードを総当たりの所要時間もどんどん短くなり、一昔前は「1日がかり」だった処理が「数分」単位で終わる事態にもなりつつあります。

さらにコンピューターの処理速度の向上は、今後さらに発展しますので、しっかりしたパスワードを設定しておかないと、将来「デジタル遺産やデジタル遺品」として継承したアカウントも盗まれてしまうリスクもあるのです。

 

あなたのパスワードを推測して使おうとするのは、家族や友人など実は身近な人かも、、、、

またこれらの技術は、特にコンピューターに詳しくなくても、ネット上に流れている情報を集めるだけで、誰にでもできることです。

悪意のハッカーだけでなく、あなたの誕生日をはじめとするプライベート情報をよく知っている「身近な誰か」が軽い気持ちで試してしまうかもしれません。

事実、パスワードの盗用は家族や友人など身近な人の犯行が多いのです。デジタル遺品やデジタル遺産として残したアカウントが、推測や盗用で意図しない人に使われてしまったらどうなるでしょう?

 

まとめ:
簡単なパスワードを使うのは論外!本当に危険な行為なのです

以上のことから、類推されそうな簡単なパスワードを使うことは、「簡単に破られてとんでもないリスクがある行為」とご理解いただけると思います。

デジタル終活に取り組むことを契機に、デジタル資産(デジタル遺品やデジタル遺産)のアカウントのパスワードを総チェックしましょう。

それこそがあなたがこれからデジタルを安心して使うことにつながり、「平穏な生活を守る鍵」となります。そして「デジタル遺産やデジタル遺品を守る鍵」ともなるのです。

関連記事

パスワードについては10年前の古い常識が今でも生き続けているようです。「8文字のパスワードはもはや危険」ですし、「覚えられないからパスワードを使い回す」というのはデジタルの世界では最悪の愚行です。 長くて安全なパスワードの必要性と「どうや[…]

長くて安全なパスワードを作るヒント
関連記事

パスワードには「使っただけで危険」な言葉や、避けるべき文字の使い方があります。 安全なパスワード管理は、まず「ダメ言葉」を理解してはじめましょう。ダメな言葉を使ったパスワードはいずれ破られて悪用されるリスクが高く、デジタル遺品やデジタル遺[…]

関連記事

いくら安全でも、記憶できないパスワードは使えません。 「デジタル終活~デジタル遺産とデジタル遺品の継承のため」覚えることのできる安全なパスワードの設定方法を具体的にご説明します。 1 安全なパスワードを整備する現実的な方法があるのか[…]

このブログの運営サービスが日経新聞で紹介されました

オンラインデジタル終活サービスDigital Keeperが独創的スタートアップとして日経に!

2019年12月11日付の日本経済新聞朝刊「東京・首都圏経済」面「Edgy企業」に”「情報の遺品」管理容易”と、Digital Keeperが掲載されました。
「Edgy企業」は毎回独自性の高いスタートアップ企業が取り上げられますが、当社Digital Keeperのシンプルで柔軟なスキームや「情報本体と鍵を分散して保存する多要素分散保管」が評価されました。
日本経済新聞 電子版(有料会員限定)
https://www.nikkei.com/article/DGXMZO53111870Z01C19A2L83000/

月々たった167円で実現するクラウド時代の終活サポートサービスとは

それは「独創的で、これから必要なサービス!」と日経新聞やテレビでも取り上げられたDigital Keeperです。
月々わずか167円(年会費2000円)で、一般的な終活だけでなく、「どなたにも今すぐ必要なデジタル終活」もできてしまう、新しいオンラインサービスです。
Digital Keeperでまず「大切なスマホやパソコンのデジタル終活」を5分で実現しましょう。そしてDigital Keeperがお届けする情報を参考にご自身にあった終活や「デジタルキーピング~デジタルの安全と安心」を進めましょう。

詳細は下記バナーからどうぞ!(新しいウィンドウでご覧いただけます)。
Digital Keeperバナー

 

 

 

プッシュ通知を
>

「デジタルキーパー社公式ブログについて」
このブログはデジタルキーパー株式会社が「デジタルの安全な使用と継承~デジタルキーピング」をテーマに、「スマホ、PCの安全な使用方」から「正しいパスワード」「不正アクセスの防ぎ方」「デジタル遺品管理などデジタル終活の方法」まで、様々なノウハウをご紹介するブログです。
さらに2019年夏「コーヒー1杯分の代金でデジタル終活支援サービス~Digital Keeper」をスタートしました。
すでに日経新聞他マスコミ各社で取り上げられた、誰にも必要なデジタルキービングをサポートするサービスです。

CTR IMG