Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

名前をパスワードに使用してはいけない

つぶやいてみた。

新型コロナ禍でユーザ側の重要な防御手段であるパスワードについて、その脆弱性を指摘する記事が出ていました。

www.infosecurity-magazine.com

 

パスワード管理会社 NordPass は、一般の人々にパスワードに人の名前を含めないように強く求めています

同社が発表した調査によると、世界中の何千人ものネチズンが、名前を含むパスワードで機密情報を保護することを選択しています。

NordPassによると、パスワードで最も頻繁に出現した名前は「Ashley」です。同社は、ジェンダーニュートラルのモニカが機密データの保護に94,557回使用されたことを発見しました。

78,914回使用された2番目に一般的な名前は、同様にジェンダーに中立的な「チャーリー」でした。3番目と4番目に人気のある名前は、それぞれ71,035回と64,992回使用され、マイケルとニコールでした。

パスワードに多用されている他の性別に依存しない名前は、ジョーダン(58,698回使用)とテイラー(46,375回出現)でした。

(Information Security Magazine記事より引用)※機械翻訳

 

キタきつねの所感

記事に出てくるNordPass社は、毎年「最悪なパスワード」を出している所として有名です。

最悪なパスワードリストは、他にもDashLane社が出していたかと思いますが、両社共、パスワード管理ソフトを販売しています。(※匿名化されたパスワード情報を自社に保有しているのでこうしたリストを取りまとめられる会社と言えます)

参考:

nordpass.com

 

私も両社のデータを毎年見ていますが、傾向的にはほぼ変わりません。多少の順位変動はあるものの、「12345」や「password」といった”人気(最悪)のパスワード”上位を占めます

その中で、今回記事に取り上げられた”名前”については、こちらも毎年リストに登場してくるのですが、面白い考察がされています。

 

それが、米国社会保障局が発表している過去100年のトップネームとの相関です。

この名前は 、1919年から2018年までに生まれた赤ちゃんの100人の最も人気のある名のリストである米国社会保障局のリストと非常によく一致しています 。たとえば、女の子の名前のリストでは、アシュリーは17位、ミシェルは21位、ニコールは39位です。男の子の場合、マイケルは4位、チャールズは10位、ジョーダンは83位です。

(Information Security Magazine記事より引用)※機械翻訳

 

英語圏で良く使われる「名前」がパスワードに使われている事については当然、攻撃(ハッカー)側も把握していると考えられます

仮に把握されてなかったとしても、多くの「名前」が、既に他の侵害事件で漏えいしたパスワード(レインボーテーブル等でハッシュ解読されて)として、攻撃側が使うパスワード辞書に載っているのは間違いありません。

 

この事を考えると、日本でよく使われる名前(ローマ字)も危ないのではないでしょうか。

 

日本人の名前では、色々な所が名前ランキング(子供)を発表しています。例えば明治安田生命のデータで調べてみると、

www.meijiyasuda.co.jp

 

読み仮名で良く使われているのは以下の名前でしたので、各上位10位をパスワードチェッカーで強度チェックしてみます。

f:id:foxcafelate:20200609074846p:plain f:id:foxcafelate:20200609074758p:plain

 

20の名前(ローマ字)のチェック結果は全滅(すぐ解読できる評価)でした。

これは論理チェックで文字数が少ない事も影響していると思いますので、別なサイトも見てみます。

f:id:foxcafelate:20200609075803p:plain

 

TroyHunt氏の過去のデータ侵害事件でパスワード漏えいが出てないかを確認できるデータベースで、同じく20の名前(ローマ字)を試してみると、

f:id:foxcafelate:20200609075925p:plain

 

漏えい件数の差はありますが、過去にデータ侵害を受けて漏えいしたパスワード(平文)に全て含まれていました。つまり攻撃側の辞書には、日本人名も掲載されている可能性が高いという事を示唆しています。

 

因みに、一番結果が悪かったのは「sakura」で、これは名前だけでなく一般単語としても登場しやすい事が影響していると思いますが、過去に10万回弱検出された事があるという結果が出ました。

 

自分や家族の名前は憶えておけるパスワードとしては良い考えであると思われる方も多いのかも知れませんが、攻撃側にとってはそうしたパスワードは「脆弱なパスワード」として歓迎している。パスワードに名前を使われている方は、そう認識を変えた方が良いかと思います。

 

同様に好きなスポーツチームやアーチストといったの名前をパスワードに使うのも危険です。既に誰かが漏えいしている(=攻撃辞書に登録されている)、その可能性が高いかと思います。

 

仮に名前を使う必要がある場合、例えば「1234Dragon5678」と名前部分をそのまま使わない形で考える、そうした工夫も大事かと思います。

 

※パスワードの工夫(パスワード2.0)については下記のレポートも良かったらご覧下さい。

ホワイトペーパー | 一般社団法人日本プライバシー認証機構(JPAC)

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

ネームタグを付けた猫のイラスト

 

更新履歴

  • 2020年6月8日 AM(予約投稿)