Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

最悪なパスワード200(Nordpass調べ)

パスワード管理ソフト等を販売しているNordpass社の調べによる、2019年の最悪な(よく使われる)パスワードリストが出ていました。

nordpass.com

 

◆キタきつねの所感

まだ最悪なパスワードと言うと、SplashDataが毎年発表しているものが有名な気がしますが、今年はNordPassが、5億件にも及ぶ漏えいパスワードを分析した匿名の研究者の成果として、最悪な(よくある)パスワード200を発表しています。基本的には、SplashDataのものとそんなに傾向は変わらない気がしますが、簡単にコメントします。 

※12/23追記 SplashDataもWorst100を発表していますが、この内容は別途書きます

 

  Password Count
1 12345 2812220
2 123456 2485216
3 123456789 1052268
4 test1 993756
5 password 830846
6 12345678 512560
7 zinch 483443
8 g_czechout 372278
9 asdf 359520
10 qwerty 348762
11 1234567890 329341
12 1234567 261610
13 Aa123456. 212903
14 iloveyou 171657
15 1234 169683
16 abc123 150977
17 111111 148079
18 123123 145365
19 dubsmash 144104
20 test 139624
21 princess 122658
22 qwertyuiop 116273
23 sunshine 107202
24 BvtTest123 106991
25 11111 104395
26 ashley 94557
27 00000 92927
28 000000 92330
29 password1 92009
30 monkey 86404
31 livetest 83677
32 55555 83004
33 soccer 80159
34 charlie 78914
35 asdfghjkl 77360
36 654321 76498
37 family 76007
38 michael 71035
39 123321 69727
40 football 68495
41 baseball 67981
42 q1w2e3r4t5y6 66586
43 nicole 64992
44 jessica 63498
45 purple 62709
46 shadow 62592
47 hannah 62394
48 chocolate 62325
49 michelle 61873
50 daniel 61643
51 maggie 61445
52 qwerty123 59782
53 hello 59125
54 112233 58745
55 jordan 58698
56 tigger 57167
57 666666 56801
58 987654321 56653
59 superman 56113
60 12345678910 55414
61 summer 55403
62 1q2w3e4r5t 55318
63 fitness 55095
64 bailey 54405
65 zxcvbnm 53307
66 fuckyou 52997
67 121212 52684
68 buster 51495
69 butterfly 51413
70 dragon 50640
71 jennifer 50602
72 amanda 50560
73 justin 50294
74 cookie 49712
75 basketball 49556
76 shopping 49085
77 pepper 48564
78 joshua 48230
79 hunter 47430
80 ginger 47404
81 matthew 47207
82 abcd1234 47064
83 taylor 46375
84 samantha 46353
85 whatever 46339
86 andrew 46083
87 1qaz2wsx3edc 45643
88 thomas 45317
89 jasmine 45190
90 animoto 44940
91 madison 44183
92 0987654321 44175
93 54321 43912
94 flower 43696
95 Password 43430
96 maria 43177
97 babygirl 43037
98 lovely 42897
99 sophie 42889
100 Chegg123 42542
101 computer 42531
102 qwe123 42478
103 anthony 42427
104 1q2w3e4r 42242
105 peanut 42143
106 bubbles 42142
107 asdasd 42096
108 qwert 41948
109 1qaz2wsx 41840
110 pakistan 41798
111 123qwe 41602
112 liverpool 41272
113 elizabeth 41268
114 harley 41084
115 chelsea 40499
116 familia 39996
117 yellow 39726
118 william 39702
119 george 39270
120 7777777 39071
121 loveme 38797
122 123abc 38501
123 letmein 38353
124 oliver 38269
125 batman 37973
126 cheese 37956
127 banana 37910
128 testing 37881
129 secret 37784
130 angel 37764
131 friends 37741
132 jackson 37731
133 aaaaaa 37568
134 softball 37556
135 chicken 37250
136 lauren 37151
137 andrea 36940
138 welcome 36723
139 asdfgh 36597
140 robert 35654
141 orange 35594
142 Testing1 35389
143 pokemon 35293
144 555555 35128
145 melissa 35045
146 morgan 34829
147 123123123 34721
148 qazwsx 34436
149 diamond 34422
150 brandon 34227
151 jesus 34220
152 mickey 34180
153 olivia 34110
154 changeme 33940
155 danielle 33781
156 victoria 33770
157 gabriel 33679
158 123456a 33562
159 0.00000000 33417
160 loveyou 33306
161 hockey 33091
162 freedom 33047
163 azerty 32881
164 snoopy 32792
165 skinny 32682
166 myheritage 32619
167 qwerty1 32560
168 159753 32365
169 forever 32115
170 iloveu 32043
171 killer 31879
172 joseph 31852
173 master 31667
174 mustang 31619
175 hellokitty 31458
176 school 30905
177 Password1 30871
178 patrick 30821
179 blink182 30756
180 tinkerbell 30739
181 rainbow 30726
182 nathan 30489
183 cooper 30457
184 onedirection 30388
185 alexander 30078
186 jordan23 29874
187 lol123 29832
188 jasper 29813
189 junior 29502
190 q1w2e3r4 29368
191 222222 29362
192 11111111 29291
193 benjamin 29288
194 jonathan 29279
195 passw0rd 29267
196 0123456789 29110
197 a123456 29103
198 samsung 29073
199 123 29068
200 love123 29064

 

 

数字と、辞書単語、パスワード配列、あるいはiloveyouやletmeinといった簡単なワード、そして英語の名前といったものが、このリストの大半を占めます。

まず分からなかったのが、7位の「zinch」です。

いくつかの可能性がありそうですが、大学入学用の情報サイトでZinchがひっかかった(既に買収されている様ですが)ので、そこから拾ったのかな?と思われます。

 

次に分からなかったのが、8位の「g_czechout」ですが、こちらは、Brexit(ブリグジット)と同じ様に、EUから出ていけ!と別な国を指す時に使われる「Czech(チェコ人)Out(離脱)」の意味が入っていると考えられます。とは言え、頭の「g_」が何故入るのかは調べても分からなかったのですが・・・。

 

面白いなと感じたのが、13位のAa123456.です。最後に「.」(記号)が入っているので、順位の割に少しパスワードが強くなるのですが、流石に単純そうなアルファベットと数字の組み合わせに付加しても、同じことを考える人が多いのか、あまりパスワード強度が上がったとは言えない様です。

「.」が入力文字として許されている場合、「...」3つ重ねてしまう方が(他人と被らなければですが)強度は増すと思います。記号で考える場合、「.」「@」「#」「-」等はメールアドレスを含めて比較的よく使われる記号なので、「!」「”」「$」「_」といったあまり使われない記号が使えれば、そちらを使ったパスワードの方が更に強度は増すかも知れません。

 

19位の「dubsmash」は、ビデオメッセージソフトの名前ですね。有名なアプリでは、143位の「pokemon」もこうした系統かと思います。

Dubsmash - Videos & Music

Dubsmash - Videos & Music

  • Mobile Motion GmbH
  • 写真/ビデオ
  • 無料

apps.apple.com

 

159位0.00000000ですが、個人的には(このままでは脆弱ですが)悪くないパスワードの考え方だと思います。何故、多くの人と被っているのか?が分かりません。「0.0000」や「0.00000」等がランクインしてないので、何か理由がありそうですが、このランキングからは分かりません。また、同じ考え方になりやすい、円周率がランクインしてないのも、少し不思議です。

 

179位の「blink182」、184位の「onedirection」は、年度によって違ったりしますが、ファンが多いグループと言えるかも知れません。日本だとパスワードに「ARASHI」(嵐)や「EXILE」(エグザエル)と設定する方と同じ思考です。(※ファンが多いバンド名を何のひねりも入れずに使うのは・・他人と被りやすいので個人的にはおススメできません)

 

blink182アメリカのポップパンクバンド、

www.youtube.com

 

onedirectionは、イギリス(アイルランド)出身のバンド、日本でもファンが多いですね。

www.youtube.com

 

まだ今年の発表が出てませんが、Dashlaneの最悪なパスワード100も、また発表されると思います。

そちらとの差分は多少あるかも知れませんが、数字、キーボード配列、よく使われる人名、辞書単語がほとんど占めている印象で、やはりパスワードを覚えられない問題(パスワードv1)の影響と言えるかも知れません。

 

以下、NordPassの分析コメントです。

スポーツ、女性の名前、食べ物
最も一般的なパスワードには、明白で推測しやすい数字の組み合わせ(12345,111111,123321)人気の女性名(Nicole、Jessica、Hannah)、およびQWERTYキーボードで水平または垂直の線を形成する文字列(asdfghjkl)がすべて含まれています、qazwsx、1qaz2wsxなど)。驚くべきことに、最も明白なものである「パスワード」は依然として非常に人気があります。830,846人が今でも使用しています。

(NordPass記事より引用)※機械翻訳

 



 

本日もご来訪ありがとうございました。

 

 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

 

 f:id:foxcafelate:20191221111756p:plain
 

 

更新履歴

  • 2019年12月21日AM(予約投稿)