今年もSplashDataの最悪なパスワード2019が出ました。少し遅れましたが、この内容を見てみたいと思います。元ソースは下記になるかと思います。
The Worst Passwords of 2019 50-1 | SplashData Password Managers
The Worst Passwords of 2019 100-50 | SplashData
◆キタきつねの所感
Splashdataの最悪なパスワードは、毎年発表があるという点で注目されるリストです。元データは今年オンラインから漏えいしたパスワード500万個を元に分析されています。
何はともあれ、ベスト100を並べてみますが、、、先日 最悪なパスワード200(Nordpass調べ) - Fox on Security を記事にしましたが、順位はともかく、出てくるパターンは良く似ています。数字、キーボード配列、人名(英語圏)、辞書単語、簡単な(容易に推測できる)単語と数字の組み合わせ、、で概ね分類可能です。残念な事に、このリストに掲載されるパスワードはここ数年、ほとんど変化してない事にも留意が必要です。つまり、これだけ容易に推測できるパスワードの使用(パスワードの使い回し)は止めろ!とこうしたリストをベースに多くの専門家、規制当局が世に訴えても、ユーザ側は安易なパスワードを使い続けている事の証明でもあります。
| 順位 |
パスワード |
キタきつね寸評 |
| 1 |
123456 |
2年連続1位です |
| 2 |
123456789 |
数字のみです(容易に推測できます) |
| 3 |
qwerty |
キーボード配列です |
| 4 |
password |
辞書単語です |
| 5 |
1234567 |
数字のみです(容易に推測できます) |
| 6 |
12345678 |
数字のみです(容易に推測できます) |
| 7 |
12345 |
数字のみです(容易に推測できます) |
| 8 |
iloveyou |
容易に推測できるパスワードの典型例です |
| 9 |
111111 |
数字のみです(容易に推測できます) |
| 10 |
123123 |
数字のみです(容易に推測できます) |
| 11 |
abc123 |
容易に推測できるパスワードの典型例です |
| 12 |
qwerty123 |
キーボード配列の変形です |
| 13 |
1q2w3e4r |
キーボード配列の変形です |
| 14 |
admin |
容易に推測できるパスワードの典型例です |
| 15 |
qwertyuiop |
少し長いキーボード配列です |
| 16 |
654321 |
数字のみです(容易に推測できます) |
| 17 |
555555 |
数字のみです(容易に推測できます) |
| 18 |
lovely |
辞書単語です |
| 19 |
7777777 |
数字のみです(容易に推測できます) |
| 20 |
welcome |
辞書単語です |
| 21 |
888888 |
数字のみです(容易に推測できます) |
| 22 |
princess |
辞書単語です |
| 23 |
dragon |
辞書単語です |
| 24 |
password1 |
容易に推測できるパスワードの典型例です |
| 25 |
123qwe |
キーボード配列です |
| 26 |
666666 |
数字のみです(容易に推測できます) |
| 27 |
1qaz2wsx |
キーボード配列です |
| 28 |
333333 |
数字のみです(容易に推測できます) |
| 29 |
michael |
人名です |
| 30 |
sunshine |
辞書単語です |
| 31 |
liverpool |
有名サッカーチーム名です(リバプール) |
| 32 |
777777 |
数字のみです(容易に推測できます) |
| 33 |
1q2w3e4r5t |
キーボード配列です |
| 34 |
donald |
人名です |
| 35 |
freedom |
辞書単語です |
| 36 |
football |
辞書単語です |
| 37 |
charlie |
人名です |
| 38 |
letmein |
容易に推測できるパスワードの典型例です |
| 39 |
!@#$%^&* |
キーボード配列です |
| 40 |
secret |
辞書単語です(秘密では無い様な・・・) |
| 41 |
aa123456 |
数字の変形です(容易に推測できます) |
| 42 |
987654321 |
数字のみです(容易に推測できます) |
| 43 |
zxcvbnm |
キーボード配列です |
| 44 |
passw0rd |
容易に推測できるパスワードの典型例です |
| 45 |
bailey |
辞書単語です |
| 46 |
nothing |
辞書単語です |
| 47 |
shadow |
辞書単語です |
| 48 |
121212 |
数字のみです(容易に推測できます) |
| 49 |
biteme |
容易に推測できるパスワードの典型例です |
| 50 |
ginger |
辞書単語です |
| 51 |
1q2w3e |
キーボード配列です |
| 52 |
baseball |
辞書単語です |
| 53 |
abcdef |
容易に推測できるパスワードの典型例です |
| 54 |
harley |
有名バイクメーカー名です(ハーレダビッドソン) |
| 55 |
george |
人名です |
| 56 |
summer |
辞書単語です |
| 57 |
daniel |
人名です |
| 58 |
whatever |
辞書単語です |
| 59 |
buster |
辞書単語です |
| 60 |
jessica |
人名です |
| 61 |
hello |
辞書単語です |
| 62 |
nicole |
人名です |
| 63 |
mercedes |
有名カーメーカー名です(メルセデスベンツ) |
| 64 |
hunter |
辞書単語です |
| 65 |
corvette |
有名車種名です(コルベット) |
| 66 |
joshua |
人名です |
| 67 |
1234 |
数字のみ(容易に推測できます) |
| 68 |
fuckoff |
単語の組み合わせです(バカの意味があります) |
| 69 |
ferrari |
有名カーメーカー名です(フェラーリ) |
| 70 |
cheese |
辞書単語です |
| 71 |
a12345 |
数字の変形です(容易に推測できます) |
| 72 |
tigger |
辞書単語です |
| 73 |
amanda |
人名です |
| 74 |
andrew |
人名です |
| 75 |
robert |
人名です |
| 76 |
blahblah |
辞書単語です |
| 77 |
12341234 |
数字のみです(容易に推測できます) |
| 78 |
matthew |
人名です |
| 79 |
starwars |
有名映画名です(スターウォーズ) |
| 80 |
sophie |
人名です |
| 81 |
lakers |
有名バスケチーム名です(LAレイカーズ) |
| 82 |
solo |
辞書単語です |
| 83 |
access |
辞書単語です |
| 84 |
1989 |
生年等は忘れにくいですが、短すぎます |
| 85 |
jordan |
人名です |
| 86 |
google |
有名会社名です(グーグル) |
| 87 |
maverick |
辞書単語です(一匹狼の意味があります) |
| 88 |
1991 |
生年等は忘れにくいですが、短すぎます |
| 89 |
1990 |
生年等は忘れにくいですが、短すぎます |
| 90 |
ashley |
人名です |
| 91 |
tesla |
有名カーメーカー名です(テスラ) |
| 92 |
chelsea |
有名サッカーチーム名です(チェルシー) |
| 93 |
696969 |
数字のみ(容易に推測できます) |
| 94 |
trustno1 |
単語の組み合わせです(トラストNo.1) |
| 95 |
cookie |
辞書単語です |
| 96 |
killer |
辞書単語です |
| 97 |
banana |
辞書単語です |
| 98 |
ranger |
辞書単語です |
| 99 |
test123 |
容易に推測できるパスワードの典型例です |
| 100 |
merlin |
人名です |
| |
補足です。上位25位までで、新たに登場したパスワードと(SCMagazineの記事にて)書かれていたのは、
15位の「qwertyuiop」
17位の「555555」
18位の「lovely」
19位の「7777777」
21位の「888888」
23位の「dragon」
25位の「123qwe」
ですが、複雑なパスワードは皆無です。(ドラゴンは以前のリストでみた気がしますが・・・)
NIST SP800-63Bでは、パスワード登録時に、漏えいパスワード辞書(容易に推測できるパスワードリスト)等と比較して、危殆化が疑われるパスワードは登録を拒否する事が、必須(SHALL)と書かれていますが、サービス提供側でここを意識している企業が少ない事も、パスワードに関わる問題に影響している気がします。
総務省のガイドライン等でも、企業にそれを要求していませんが(ユーザ側のガイドライン項目だけをNISTから拾っている様です)、もう少し推奨を強くした方が良いのではないかと思います。 パスワード定期変更不要だけ一人歩きしてないか - Fox on Security
www.soumu.go.jp
本日もご来訪ありがとうございました。
■日本人のためのパスワード2.0 ※JPAC様 ホームページ
7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。
更新履歴