Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

最悪のパスワード2018

今年もこの季節がきました。SplashDataの発表する年次の最悪なパスワード。残念ながら状況がほとんど変わってない事を確認する行事となりつつあります。

www.businessinsider.jp

 

1    123456    (-) 
2    password    (-) 
3    123456789 (+3) 
4    12345678 (▲1) 
5    12345 (-) 
6    111111 (New) 
7    1234567 (+1) 
8    sunshine (New) 
9    qwerty (▲5) 
10    iloveyou (-) 
11    princess (New) 
12    admin (▲1) 
13    welcome (▲1) 
14    666666 (New) 
15    abc123 (-) 
16    football (▲7) 
17    123123 (-) 
18    monkey (▲5) 
19    654321 (New) 
20    !@#$%^&* (New) 
21    charlie (New) 
22    aa123456 (New) 
23    donald (New) 
24    password1 (New) 
25    qwerty123 (New)

 

◆キタきつねの所感

多少の差分はありますが、SplashData社が個人情報漏洩事件から分析した『パスワード』は毎年同じ様な内容が掲載されます。大型流出事件が米国が多いので、分析されるパスワードは米国ならではの癖が出ていますが、日本人も似た様な癖があると考えて、このリストを見る事が重要だと思います。

 

一言でこのリストを表すとしたら、『容易に類推できるパスワード』をユーザは未だに選択していると言えるかと思います。

 

数字系はすぐ解析されてしまうので論外としても、

2位のpassword、8位のsunshine、10位のiloveyou、11位のprincess、12位のadmin、13位welcome、16位football、18位monkeyはいわゆる辞書単語と言われるものであって、パスワード解析ツールではすぐに解読されてしまう可能性が高いといわれています。

21位のcharlieと23位のdonald英語圏でよく使われる人名となります。日本人だと太郎とか花子などに相当するもので、これらもすぐに解読される可能性が高いと言えます。(※donaldは大統領でしょうね・・・)

 

少しだけ解説が必要なのが、キーボード配列かも知れません。9位のqwertyは下記図のTabの横にあるキー『q』『w』『e』『r』『t』を押したものです。これはよく知られたものですが、

f:id:foxcafelate:20181216090946p:plain

 

20位の !@#$%^&*英語キーボードの配列によるものです。日本語の配列だと数字の1~8を押すと、!”#$%&’(となりますが、英語だと !@#$%^&*となります。

 

上位100位の最悪のパスワード(よく使われているパスワード)については、下記に掲載がありますが、簡単な数字、辞書単語、メーカ名、スポーツ名、チーム名、人名、キーボード配列大体カバーされます

 

The Worst Passwords of 2018 50-1 | SplashData

 

英語圏(米国)ならではの癖はありますが、システム管理者の方々は、日本人もこうしたパスワードを多く選択している、つまりパスワードリスト攻撃は非常に成功しやすい状況が続いていると言った視点で。IDとパスワードによる認証システムに対して冷静にリスク分析をする事が必要だと思います。

日本では、こうした実際の事件を分析した公開データは出ていません(少なくても私は知らない)ので、日本人の癖については分かりませんが、パスワード啓蒙教育と併せて、こうした容易に推測できるパスワードは初期設の段階、あるいは定期的な見直しの段階で、強度のあるパスワードに強制的に変更させる事を今一度考えるべきでしょう。

よくあるパスワードを(自社サービス用の)辞書登録して比較する事は、ユーザビリティに影響を与えたり(初期登録の段階でユーザが面倒くさがって逃げる等)、システム改修の負荷はかかりますが、今や自社のサービスを(安価なパスワードで)守るには必須ではないかと思います。

 

因みに、SplashDataのパスワード設定の推奨は、Business Insiderの記事から引用しますと、

  1. 12文字(12桁)以上のパスワードを使用し、アルファベット(大文字/小文字)、数字など複数のタイプの文字を使う。
  2. 複数のサービスにログインするなら、それぞれ違うパスワードを使う。そうすれば、もし1つのパスワードが漏えいしても、被害を最小限にできる。
  3. パスワード管理ツールを使うことで、資産と個人情報を守る。パスワード管理ツールはランダムなパスワードを生成し、ログイン作業を自動化できる。

 

となっていました。

 

個人管理のパスワード限定すれば、書かれている事には概ね同意なのですが、パスワード管理は色々な側面があるので、機会があれば私の考えもblogでご紹介できればと思います。

 

ãã¹ã¯ã¼ããå¿ãã人ã®ã¤ã©ã¹ãï¼ã¹ããï¼

 

更新履歴

  • 2018年12月16日AM(予約投稿)