今年もSplashDataの最悪なパスワード2019が出ました。少し遅れましたが、この内容を見てみたいと思います。元ソースは下記になるかと思います。
The Worst Passwords of 2019 50-1 | SplashData Password Managers
The Worst Passwords of 2019 100-50 | SplashData
◆キタきつねの所感
Splashdataの最悪なパスワードは、毎年発表があるという点で注目されるリストです。元データは今年オンラインから漏えいしたパスワード500万個を元に分析されています。
何はともあれ、ベスト100を並べてみますが、、、先日 最悪なパスワード200(Nordpass調べ) - Fox on Security を記事にしましたが、順位はともかく、出てくるパターンは良く似ています。数字、キーボード配列、人名(英語圏)、辞書単語、簡単な(容易に推測できる)単語と数字の組み合わせ、、で概ね分類可能です。残念な事に、このリストに掲載されるパスワードはここ数年、ほとんど変化してない事にも留意が必要です。つまり、これだけ容易に推測できるパスワードの使用(パスワードの使い回し)は止めろ!とこうしたリストをベースに多くの専門家、規制当局が世に訴えても、ユーザ側は安易なパスワードを使い続けている事の証明でもあります。
順位 | パスワード | キタきつね寸評 |
---|---|---|
1 | 123456 | 2年連続1位です |
2 | 123456789 | 数字のみです(容易に推測できます) |
3 | qwerty | キーボード配列です |
4 | password | 辞書単語です |
5 | 1234567 | 数字のみです(容易に推測できます) |
6 | 12345678 | 数字のみです(容易に推測できます) |
7 | 12345 | 数字のみです(容易に推測できます) |
8 | iloveyou | 容易に推測できるパスワードの典型例です |
9 | 111111 | 数字のみです(容易に推測できます) |
10 | 123123 | 数字のみです(容易に推測できます) |
11 | abc123 | 容易に推測できるパスワードの典型例です |
12 | qwerty123 | キーボード配列の変形です |
13 | 1q2w3e4r | キーボード配列の変形です |
14 | admin | 容易に推測できるパスワードの典型例です |
15 | qwertyuiop | 少し長いキーボード配列です |
16 | 654321 | 数字のみです(容易に推測できます) |
17 | 555555 | 数字のみです(容易に推測できます) |
18 | lovely | 辞書単語です |
19 | 7777777 | 数字のみです(容易に推測できます) |
20 | welcome | 辞書単語です |
21 | 888888 | 数字のみです(容易に推測できます) |
22 | princess | 辞書単語です |
23 | dragon | 辞書単語です |
24 | password1 | 容易に推測できるパスワードの典型例です |
25 | 123qwe | キーボード配列です |
26 | 666666 | 数字のみです(容易に推測できます) |
27 | 1qaz2wsx | キーボード配列です |
28 | 333333 | 数字のみです(容易に推測できます) |
29 | michael | 人名です |
30 | sunshine | 辞書単語です |
31 | liverpool | 有名サッカーチーム名です(リバプール) |
32 | 777777 | 数字のみです(容易に推測できます) |
33 | 1q2w3e4r5t | キーボード配列です |
34 | donald | 人名です |
35 | freedom | 辞書単語です |
36 | football | 辞書単語です |
37 | charlie | 人名です |
38 | letmein | 容易に推測できるパスワードの典型例です |
39 | !@#$%^&* | キーボード配列です |
40 | secret | 辞書単語です(秘密では無い様な・・・) |
41 | aa123456 | 数字の変形です(容易に推測できます) |
42 | 987654321 | 数字のみです(容易に推測できます) |
43 | zxcvbnm | キーボード配列です |
44 | passw0rd | 容易に推測できるパスワードの典型例です |
45 | bailey | 辞書単語です |
46 | nothing | 辞書単語です |
47 | shadow | 辞書単語です |
48 | 121212 | 数字のみです(容易に推測できます) |
49 | biteme | 容易に推測できるパスワードの典型例です |
50 | ginger | 辞書単語です |
51 | 1q2w3e | キーボード配列です |
52 | baseball | 辞書単語です |
53 | abcdef | 容易に推測できるパスワードの典型例です |
54 | harley | 有名バイクメーカー名です(ハーレダビッドソン) |
55 | george | 人名です |
56 | summer | 辞書単語です |
57 | daniel | 人名です |
58 | whatever | 辞書単語です |
59 | buster | 辞書単語です |
60 | jessica | 人名です |
61 | hello | 辞書単語です |
62 | nicole | 人名です |
63 | mercedes | 有名カーメーカー名です(メルセデスベンツ) |
64 | hunter | 辞書単語です |
65 | corvette | 有名車種名です(コルベット) |
66 | joshua | 人名です |
67 | 1234 | 数字のみ(容易に推測できます) |
68 | fuckoff | 単語の組み合わせです(バカの意味があります) |
69 | ferrari | 有名カーメーカー名です(フェラーリ) |
70 | cheese | 辞書単語です |
71 | a12345 | 数字の変形です(容易に推測できます) |
72 | tigger | 辞書単語です |
73 | amanda | 人名です |
74 | andrew | 人名です |
75 | robert | 人名です |
76 | blahblah | 辞書単語です |
77 | 12341234 | 数字のみです(容易に推測できます) |
78 | matthew | 人名です |
79 | starwars | 有名映画名です(スターウォーズ) |
80 | sophie | 人名です |
81 | lakers | 有名バスケチーム名です(LAレイカーズ) |
82 | solo | 辞書単語です |
83 | access | 辞書単語です |
84 | 1989 | 生年等は忘れにくいですが、短すぎます |
85 | jordan | 人名です |
86 | 有名会社名です(グーグル) | |
87 | maverick | 辞書単語です(一匹狼の意味があります) |
88 | 1991 | 生年等は忘れにくいですが、短すぎます |
89 | 1990 | 生年等は忘れにくいですが、短すぎます |
90 | ashley | 人名です |
91 | tesla | 有名カーメーカー名です(テスラ) |
92 | chelsea | 有名サッカーチーム名です(チェルシー) |
93 | 696969 | 数字のみ(容易に推測できます) |
94 | trustno1 | 単語の組み合わせです(トラストNo.1) |
95 | cookie | 辞書単語です |
96 | killer | 辞書単語です |
97 | banana | 辞書単語です |
98 | ranger | 辞書単語です |
99 | test123 | 容易に推測できるパスワードの典型例です |
100 | merlin | 人名です |
補足です。上位25位までで、新たに登場したパスワードと(SCMagazineの記事にて)書かれていたのは、
15位の「qwertyuiop」
17位の「555555」
18位の「lovely」
19位の「7777777」
21位の「888888」
23位の「dragon」
25位の「123qwe」
ですが、複雑なパスワードは皆無です。(ドラゴンは以前のリストでみた気がしますが・・・)
NIST SP800-63Bでは、パスワード登録時に、漏えいパスワード辞書(容易に推測できるパスワードリスト)等と比較して、危殆化が疑われるパスワードは登録を拒否する事が、必須(SHALL)と書かれていますが、サービス提供側でここを意識している企業が少ない事も、パスワードに関わる問題に影響している気がします。
総務省のガイドライン等でも、企業にそれを要求していませんが(ユーザ側のガイドライン項目だけをNISTから拾っている様です)、もう少し推奨を強くした方が良いのではないかと思います。 パスワード定期変更不要だけ一人歩きしてないか - Fox on Security
本日もご来訪ありがとうございました。
■日本人のためのパスワード2.0 ※JPAC様 ホームページ
7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。
更新履歴
- 2019年12月29日PM(予約投稿)