Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

日本人パスワードは「数字」「キーボード配列」「日本人名」に加えて「繰り返し語」

調べてみた。

NordPass版の”最悪なパスワード2021”が公開されました。従来のグローバル統計に加えて、今年は国別データも開示されたので、日本人のよく使う”パスワード”について分析してみます。

nordpass.com

 

キタきつねの所感

今回はNordPassの調査データですが、例年ですと12月にSplashDataが”最悪なパスワード”として同様な調査データを公開していますが、正直な話、多少の違いはあれ上位ランキングに掲載される脆弱なパスワードは大きくは変わらない事を確認する行事と化しています。

 

(おそらく今回の調査結果から登場した)日本のデータを見ていくと、過去のグローバル統計データには無い、日本人ならではと思える特徴が見えてきました。

 

NordPassのサイトでは、下記の様に、各国を選択し上位200位までのパスワードリストを見る事ができます。

f:id:foxcafelate:20211123092313p:plain

 

グローバルデータと同じ様に、「数字」「英語辞書単語」「キーボード配列」は多い印象です。

 

まず「数字」ですが、アルファベットと併用されているものも含めて24個ありました。(純粋に数字のみが20個)

f:id:foxcafelate:20211123092949p:plain

※組み合わせの4つも、一般的なパスワードの分類に入るものばかりですので、解読する辞書にもよりますが、これら24個のパスワードは、辞書攻撃にはほとんど耐えられないパスワード強度と言っても過言ではないかと思います。

 

次は「英語辞書単語」です。こちらも20個ありました。こうした調査データを含め、”単純な英単語は危ない”と認識している方がほとんどかと思いきや、そんな事はなく、普通にパスワードとして使われています

f:id:foxcafelate:20211123093338p:plain

※これらは、漏えい辞書に大体載っている単語なので、数字のモノと同様に解読に時間はかからない脆弱なパスワードと言えるかと思います。

 

今回のデータから初めて分析が可能となった「日本語辞書単語」はどうかと言うと、20個(英語辞書と重複分4個含む)ありました。

英語を合せると約1/5が”辞書単語”(脆弱なワード)である事になります。

 

ローマ字では少し長くなりますが、カタカタ(ひらがな)だと4文字程度の単が好んで使われている事が分かります。

f:id:foxcafelate:20211123094024p:plain

 

次は「キーボード配列」を見ていきます。こちらは全部で33個ありました。

 

キーボード配列の中には一見複雑そうに思えるものもありますが、海外で過去に多く使われている事から、漏えい辞書に既に掲載されている可能性が高く、パスワード解読されてしまう可能性は高い(≒単純にそのままで使ってはいけない)かと思います。

f:id:foxcafelate:20211123094720p:plain

※キーボード配列を使う場合、例えば頭に「@@@1111」と付け加えて「@@@1111」+「キーボード配列」とするだけで各段にパスワード強度が上がるのですが、脆弱な状態のキーボード配列のみでパスワードを設定する人が多いのは、”侵害を受けても仕方が無い”仕方が無い気がします。

 

次は「人名」を調べてみます。検出数は13個(英語系1個含む)でした。グローバルデータでも人名はランクインしていますので同じ傾向ではあるのですが、日本人も同じ・・・ヒネリも何も無く、自分の名前を使う方が多いのだと推測しますが、パスワードの脆弱性にはあまり気を遣わない方が多いのは、少し残念です。

 

もう1つの特徴は、男性の名前が多い点でしょうか。調査データの男女比が分かりませんが、人名(実名)を使うのは日本人男性が多い、これはあまり宜しく無い傾向(標的型攻撃を含めて悪用されそうな)の様に思えます。

f:id:foxcafelate:20211123095436p:plain

 

最後が、日本独自の傾向として考えても良さそうな「繰り返し語」です。全部で15個(英文字2個を含む)見つかりました。

 

繰り返し語、、、確たる証拠がある訳ではないのですが、その多くが、日本人の名前の一部分の様に見受けられます。(例:カズカズならカズヨシ、カズキ、カズマサ・・の略称)

こちらは、同じく調査データの男女比が分からないのですが、上記の人名と比較すると「女性」らしき名前が多い様に思えます。これも、もしかすると日本人ならではの特徴と言えるのかも知れません。

f:id:foxcafelate:20211123095901p:plain

※尚、188位の「piyopiyo」を見ると、日本を代表するセキュリティサーチャーの1人、piyokango氏を敬愛する方が多い・・・のかと推察します。

 

最後に、「数字(24)」、「英語辞書単語(20)」、「日本語辞書単語(20)」、「キーボード配列(33)」、「人名(13)」、「繰り返し語(15)」を全て足すと125個になります。分類違いや重複分を差し引くと、半分(100個)程度がカバーされる事になります。

 

おそらく10年以上、こうした脆弱なパスワードは使ってはいけないと、こうした調査データを元に、ユーザーは何度もセキュリティ教育を受けてきたと思うのですが、結論から言えば、ユーザーは自身の脆弱なパスワードを「変える気が無い」事を証明し続けています。

その全てが無駄という訳ではありませんが、システム管理者(セキュリティ担当)は、ユーザーが「脆弱な状態を好む」という事をしっかりと頭に置き、過度にユーザーのセキュリティ意識(IDパスワード)に期待せずに、多要素認証など、多層防御に軸足を移す事が必要なのかと思います。

 

 

※時間が取れれば、もう少し分析した別記事(調査データ公開含む)をまとめます。(限定記事=サブスクリプションになるかと思います)

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

f:id:foxcafelate:20211123090427p:plain

 

更新履歴

  • 2021年11月23日 AM