今年もSplashDataの最悪なパスワード2019が出ました。少し遅れましたが、この内容を見てみたいと思います。元ソースは下記になるかと思います。
The Worst Passwords of 2019 50-1 | SplashData Password Managers
The Worst Passwords of 2019 100-50 | SplashData
◆キタきつねの所感
Splashdataの最悪なパスワードは、毎年発表があるという点で注目されるリストです。元データは今年オンラインから漏えいしたパスワード500万個を元に分析されています。
何はともあれ、ベスト100を並べてみますが、、、先日 最悪なパスワード200(Nordpass調べ) - Fox on Security を記事にしましたが、順位はともかく、出てくるパターンは良く似ています。数字、キーボード配列、人名(英語圏)、辞書単語、簡単な(容易に推測できる)単語と数字の組み合わせ、、で概ね分類可能です。残念な事に、このリストに掲載されるパスワードはここ数年、ほとんど変化してない事にも留意が必要です。つまり、これだけ容易に推測できるパスワードの使用(パスワードの使い回し)は止めろ!とこうしたリストをベースに多くの専門家、規制当局が世に訴えても、ユーザ側は安易なパスワードを使い続けている事の証明でもあります。
| 順位 | パスワード | キタきつね寸評 |
|---|---|---|
| 1 | 123456 | 2年連続1位です |
| 2 | 123456789 | 数字のみです(容易に推測できます) |
| 3 | qwerty | キーボード配列です |
| 4 | password | 辞書単語です |
| 5 | 1234567 | 数字のみです(容易に推測できます) |
| 6 | 12345678 | 数字のみです(容易に推測できます) |
| 7 | 12345 | 数字のみです(容易に推測できます) |
| 8 | iloveyou | 容易に推測できるパスワードの典型例です |
| 9 | 111111 | 数字のみです(容易に推測できます) |
| 10 | 123123 | 数字のみです(容易に推測できます) |
| 11 | abc123 | 容易に推測できるパスワードの典型例です |
| 12 | qwerty123 | キーボード配列の変形です |
| 13 | 1q2w3e4r | キーボード配列の変形です |
| 14 | admin | 容易に推測できるパスワードの典型例です |
| 15 | qwertyuiop | 少し長いキーボード配列です |
| 16 | 654321 | 数字のみです(容易に推測できます) |
| 17 | 555555 | 数字のみです(容易に推測できます) |
| 18 | lovely | 辞書単語です |
| 19 | 7777777 | 数字のみです(容易に推測できます) |
| 20 | welcome | 辞書単語です |
| 21 | 888888 | 数字のみです(容易に推測できます) |
| 22 | princess | 辞書単語です |
| 23 | dragon | 辞書単語です |
| 24 | password1 | 容易に推測できるパスワードの典型例です |
| 25 | 123qwe | キーボード配列です |
| 26 | 666666 | 数字のみです(容易に推測できます) |
| 27 | 1qaz2wsx | キーボード配列です |
| 28 | 333333 | 数字のみです(容易に推測できます) |
| 29 | michael | 人名です |
| 30 | sunshine | 辞書単語です |
| 31 | liverpool | 有名サッカーチーム名です(リバプール) |
| 32 | 777777 | 数字のみです(容易に推測できます) |
| 33 | 1q2w3e4r5t | キーボード配列です |
| 34 | donald | 人名です |
| 35 | freedom | 辞書単語です |
| 36 | football | 辞書単語です |
| 37 | charlie | 人名です |
| 38 | letmein | 容易に推測できるパスワードの典型例です |
| 39 | !@#$%^&* | キーボード配列です |
| 40 | secret | 辞書単語です(秘密では無い様な・・・) |
| 41 | aa123456 | 数字の変形です(容易に推測できます) |
| 42 | 987654321 | 数字のみです(容易に推測できます) |
| 43 | zxcvbnm | キーボード配列です |
| 44 | passw0rd | 容易に推測できるパスワードの典型例です |
| 45 | bailey | 辞書単語です |
| 46 | nothing | 辞書単語です |
| 47 | shadow | 辞書単語です |
| 48 | 121212 | 数字のみです(容易に推測できます) |
| 49 | biteme | 容易に推測できるパスワードの典型例です |
| 50 | ginger | 辞書単語です |
| 51 | 1q2w3e | キーボード配列です |
| 52 | baseball | 辞書単語です |
| 53 | abcdef | 容易に推測できるパスワードの典型例です |
| 54 | harley | 有名バイクメーカー名です(ハーレダビッドソン) |
| 55 | george | 人名です |
| 56 | summer | 辞書単語です |
| 57 | daniel | 人名です |
| 58 | whatever | 辞書単語です |
| 59 | buster | 辞書単語です |
| 60 | jessica | 人名です |
| 61 | hello | 辞書単語です |
| 62 | nicole | 人名です |
| 63 | mercedes | 有名カーメーカー名です(メルセデスベンツ) |
| 64 | hunter | 辞書単語です |
| 65 | corvette | 有名車種名です(コルベット) |
| 66 | joshua | 人名です |
| 67 | 1234 | 数字のみ(容易に推測できます) |
| 68 | fuckoff | 単語の組み合わせです(バカの意味があります) |
| 69 | ferrari | 有名カーメーカー名です(フェラーリ) |
| 70 | cheese | 辞書単語です |
| 71 | a12345 | 数字の変形です(容易に推測できます) |
| 72 | tigger | 辞書単語です |
| 73 | amanda | 人名です |
| 74 | andrew | 人名です |
| 75 | robert | 人名です |
| 76 | blahblah | 辞書単語です |
| 77 | 12341234 | 数字のみです(容易に推測できます) |
| 78 | matthew | 人名です |
| 79 | starwars | 有名映画名です(スターウォーズ) |
| 80 | sophie | 人名です |
| 81 | lakers | 有名バスケチーム名です(LAレイカーズ) |
| 82 | solo | 辞書単語です |
| 83 | access | 辞書単語です |
| 84 | 1989 | 生年等は忘れにくいですが、短すぎます |
| 85 | jordan | 人名です |
| 86 | 有名会社名です(グーグル) | |
| 87 | maverick | 辞書単語です(一匹狼の意味があります) |
| 88 | 1991 | 生年等は忘れにくいですが、短すぎます |
| 89 | 1990 | 生年等は忘れにくいですが、短すぎます |
| 90 | ashley | 人名です |
| 91 | tesla | 有名カーメーカー名です(テスラ) |
| 92 | chelsea | 有名サッカーチーム名です(チェルシー) |
| 93 | 696969 | 数字のみ(容易に推測できます) |
| 94 | trustno1 | 単語の組み合わせです(トラストNo.1) |
| 95 | cookie | 辞書単語です |
| 96 | killer | 辞書単語です |
| 97 | banana | 辞書単語です |
| 98 | ranger | 辞書単語です |
| 99 | test123 | 容易に推測できるパスワードの典型例です |
| 100 | merlin | 人名です |
補足です。上位25位までで、新たに登場したパスワードと(SCMagazineの記事にて)書かれていたのは、
15位の「qwertyuiop」
17位の「555555」
18位の「lovely」
19位の「7777777」
21位の「888888」
23位の「dragon」
25位の「123qwe」
ですが、複雑なパスワードは皆無です。(ドラゴンは以前のリストでみた気がしますが・・・)
NIST SP800-63Bでは、パスワード登録時に、漏えいパスワード辞書(容易に推測できるパスワードリスト)等と比較して、危殆化が疑われるパスワードは登録を拒否する事が、必須(SHALL)と書かれていますが、サービス提供側でここを意識している企業が少ない事も、パスワードに関わる問題に影響している気がします。
総務省のガイドライン等でも、企業にそれを要求していませんが(ユーザ側のガイドライン項目だけをNISTから拾っている様です)、もう少し推奨を強くした方が良いのではないかと思います。 パスワード定期変更不要だけ一人歩きしてないか - Fox on Security
本日もご来訪ありがとうございました。
■日本人のためのパスワード2.0 ※JPAC様 ホームページ
7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。
更新履歴
- 2019年12月29日PM(予約投稿)