今年もSplashDataの最悪なパスワード2019が出ました。少し遅れましたが、この内容を見てみたいと思います。元ソースは下記になるかと思います。
The Worst Passwords of 2019 50-1 | SplashData Password Managers
The Worst Passwords of 2019 100-50 | SplashData
◆キタきつねの所感
Splashdataの最悪なパスワードは、毎年発表があるという点で注目されるリストです。元データは今年オンラインから漏えいしたパスワード500万個を元に分析されています。
何はともあれ、ベスト100を並べてみますが、、、先日 最悪なパスワード200(Nordpass調べ) - Fox on Security を記事にしましたが、順位はともかく、出てくるパターンは良く似ています。数字、キーボード配列、人名(英語圏)、辞書単語、簡単な(容易に推測できる)単語と数字の組み合わせ、、で概ね分類可能です。残念な事に、このリストに掲載されるパスワードはここ数年、ほとんど変化してない事にも留意が必要です。つまり、これだけ容易に推測できるパスワードの使用(パスワードの使い回し)は止めろ!とこうしたリストをベースに多くの専門家、規制当局が世に訴えても、ユーザ側は安易なパスワードを使い続けている事の証明でもあります。
順位 |
パスワード |
キタきつね寸評 |
1 |
123456 |
2年連続1位です |
2 |
123456789 |
数字のみです(容易に推測できます) |
3 |
qwerty |
キーボード配列です |
4 |
password |
辞書単語です |
5 |
1234567 |
数字のみです(容易に推測できます) |
6 |
12345678 |
数字のみです(容易に推測できます) |
7 |
12345 |
数字のみです(容易に推測できます) |
8 |
iloveyou |
容易に推測できるパスワードの典型例です |
9 |
111111 |
数字のみです(容易に推測できます) |
10 |
123123 |
数字のみです(容易に推測できます) |
11 |
abc123 |
容易に推測できるパスワードの典型例です |
12 |
qwerty123 |
キーボード配列の変形です |
13 |
1q2w3e4r |
キーボード配列の変形です |
14 |
admin |
容易に推測できるパスワードの典型例です |
15 |
qwertyuiop |
少し長いキーボード配列です |
16 |
654321 |
数字のみです(容易に推測できます) |
17 |
555555 |
数字のみです(容易に推測できます) |
18 |
lovely |
辞書単語です |
19 |
7777777 |
数字のみです(容易に推測できます) |
20 |
welcome |
辞書単語です |
21 |
888888 |
数字のみです(容易に推測できます) |
22 |
princess |
辞書単語です |
23 |
dragon |
辞書単語です |
24 |
password1 |
容易に推測できるパスワードの典型例です |
25 |
123qwe |
キーボード配列です |
26 |
666666 |
数字のみです(容易に推測できます) |
27 |
1qaz2wsx |
キーボード配列です |
28 |
333333 |
数字のみです(容易に推測できます) |
29 |
michael |
人名です |
30 |
sunshine |
辞書単語です |
31 |
liverpool |
有名サッカーチーム名です(リバプール) |
32 |
777777 |
数字のみです(容易に推測できます) |
33 |
1q2w3e4r5t |
キーボード配列です |
34 |
donald |
人名です |
35 |
freedom |
辞書単語です |
36 |
football |
辞書単語です |
37 |
charlie |
人名です |
38 |
letmein |
容易に推測できるパスワードの典型例です |
39 |
!@#$%^&* |
キーボード配列です |
40 |
secret |
辞書単語です(秘密では無い様な・・・) |
41 |
aa123456 |
数字の変形です(容易に推測できます) |
42 |
987654321 |
数字のみです(容易に推測できます) |
43 |
zxcvbnm |
キーボード配列です |
44 |
passw0rd |
容易に推測できるパスワードの典型例です |
45 |
bailey |
辞書単語です |
46 |
nothing |
辞書単語です |
47 |
shadow |
辞書単語です |
48 |
121212 |
数字のみです(容易に推測できます) |
49 |
biteme |
容易に推測できるパスワードの典型例です |
50 |
ginger |
辞書単語です |
51 |
1q2w3e |
キーボード配列です |
52 |
baseball |
辞書単語です |
53 |
abcdef |
容易に推測できるパスワードの典型例です |
54 |
harley |
有名バイクメーカー名です(ハーレダビッドソン) |
55 |
george |
人名です |
56 |
summer |
辞書単語です |
57 |
daniel |
人名です |
58 |
whatever |
辞書単語です |
59 |
buster |
辞書単語です |
60 |
jessica |
人名です |
61 |
hello |
辞書単語です |
62 |
nicole |
人名です |
63 |
mercedes |
有名カーメーカー名です(メルセデスベンツ) |
64 |
hunter |
辞書単語です |
65 |
corvette |
有名車種名です(コルベット) |
66 |
joshua |
人名です |
67 |
1234 |
数字のみ(容易に推測できます) |
68 |
fuckoff |
単語の組み合わせです(バカの意味があります) |
69 |
ferrari |
有名カーメーカー名です(フェラーリ) |
70 |
cheese |
辞書単語です |
71 |
a12345 |
数字の変形です(容易に推測できます) |
72 |
tigger |
辞書単語です |
73 |
amanda |
人名です |
74 |
andrew |
人名です |
75 |
robert |
人名です |
76 |
blahblah |
辞書単語です |
77 |
12341234 |
数字のみです(容易に推測できます) |
78 |
matthew |
人名です |
79 |
starwars |
有名映画名です(スターウォーズ) |
80 |
sophie |
人名です |
81 |
lakers |
有名バスケチーム名です(LAレイカーズ) |
82 |
solo |
辞書単語です |
83 |
access |
辞書単語です |
84 |
1989 |
生年等は忘れにくいですが、短すぎます |
85 |
jordan |
人名です |
86 |
google |
有名会社名です(グーグル) |
87 |
maverick |
辞書単語です(一匹狼の意味があります) |
88 |
1991 |
生年等は忘れにくいですが、短すぎます |
89 |
1990 |
生年等は忘れにくいですが、短すぎます |
90 |
ashley |
人名です |
91 |
tesla |
有名カーメーカー名です(テスラ) |
92 |
chelsea |
有名サッカーチーム名です(チェルシー) |
93 |
696969 |
数字のみ(容易に推測できます) |
94 |
trustno1 |
単語の組み合わせです(トラストNo.1) |
95 |
cookie |
辞書単語です |
96 |
killer |
辞書単語です |
97 |
banana |
辞書単語です |
98 |
ranger |
辞書単語です |
99 |
test123 |
容易に推測できるパスワードの典型例です |
100 |
merlin |
人名です |
|
補足です。上位25位までで、新たに登場したパスワードと(SCMagazineの記事にて)書かれていたのは、
15位の「qwertyuiop」
17位の「555555」
18位の「lovely」
19位の「7777777」
21位の「888888」
23位の「dragon」
25位の「123qwe」
ですが、複雑なパスワードは皆無です。(ドラゴンは以前のリストでみた気がしますが・・・)
NIST SP800-63Bでは、パスワード登録時に、漏えいパスワード辞書(容易に推測できるパスワードリスト)等と比較して、危殆化が疑われるパスワードは登録を拒否する事が、必須(SHALL)と書かれていますが、サービス提供側でここを意識している企業が少ない事も、パスワードに関わる問題に影響している気がします。
総務省のガイドライン等でも、企業にそれを要求していませんが(ユーザ側のガイドライン項目だけをNISTから拾っている様です)、もう少し推奨を強くした方が良いのではないかと思います。 パスワード定期変更不要だけ一人歩きしてないか - Fox on Security
www.soumu.go.jp
本日もご来訪ありがとうございました。
■日本人のためのパスワード2.0 ※JPAC様 ホームページ
7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。
更新履歴