今ではスマートフォンひとつで色々なサービスを利用できます。
ただし、様々なサービスを利用するためには個人情報と、それを守るためのパスワードを登録する必要があります。
裏を返せばそのパスワードを他人に解読されてしまえば、個人情報が筒抜けになってしまうという危うさも秘めています。
今回は、2017年12月19日(米国時間)にパスワード管理サービスSplahDate社が発表した、「100 Worst Passwords of 2017! The Full List」というサイバー攻撃に使われることの多かったパスワードトップ100を紹介した表をもとに、危険なパスワードのパターンをランキング形式で発表します。
第1位 単純な数字・文字の羅列
最も危険なパスワードは単純な数字・文字の羅列です。
「100 Worst Passwords of 2017! The Full List」でも、第1位「123456」、第3位に「12345678」がランクインしています。
ほかにもトップ10の中に「12345」、「123345679」、「1234567」が入るなど、数字の羅列はサイバー攻撃の恰好の的と言うことができます。
同じ数字の羅列でも少し捻った「123123」が17位、「654321」が26位、「12341234」が42位、「121212」が50位にランクインしているほか、キーボードで横に並ぶ「qwerty」や縦二列に並んだ「qazwsx」、「1qaz2wsx」もトップ50までに入っています。
SplashData社によるとネットユーザーのうち、3%近くが「123456」をパスワードに使用したことがあると言われています。
私たちがすぐに思い付くような単純な文字列は、ハッカーもまたすぐに考えるということかもしれません。
また「xxxxxx」や「zzzzzz」のような連番のパスワードも覚えやすいですが、同様に使わないほうがいいでしょう。
ただ最近ですと上で述べたような単純な数字や文字の羅列を避けるために、半角の英数を組み合わせないと登録できないようなサイトやサービスもあります。
そのようなサイトでは、覚えやすいように「abc123」であったり「a11111」というような単純な数字に単純な文字を組み合わせたパスワードを使ってしまうことがあるのではないでしょうか。
実はそのような単純な組み合わせは、サイバー犯罪者がツールを使って簡単に突破してしまいます。
これではまったく意味がありません。
いくら考えるのが面倒でも、単純な数字・文字の羅列をパスワードに使うのは絶対にやめておいたほうがいいでしょう。
第2位 ログイン周りに関係が深い言葉
パスワードを考えるときにいい言葉が浮かばないと、「password」という言葉自体をパスワードにしてしまおうという逆転の発想をしてしまうことはないでしょうか。
特に簡単な文字列が危険だと分かっているとなおさらのことだと思います。
しかし「100 Worst Passwords of 2017! The Full List」によるとこの「password」は意外にも危険なパスワードの第2位にランクインしているのです。
私たちがするような逆転の発想は、犯罪者もするということかもしれないですね。
また同ランキングには「letmein(ログインさせて)」、「admin(管理者)」、「login」、「passw0rd」、「computer」というようなログイン周りに関係が深い言葉が50位以内にランクインしています。
パスワードを決めるときには色々な状況があり、自由に決められない場合も多いかとは思います。
ただログインする際に関連が深いような言葉は安易に想像がついてしまい、個人情報の漏えいにつながることがあるのです。
ほかにも近年ではSNSを使う場合も多いですよね。
例えばTwitterなどでパスワードを設定する際は、「Twitter123」という風に、サービス名をパスワードに入れる人も多いです。
会社などの公式アカウントを動かすときや、プライベートでも複数のSNSでパスワードを使い回す場合など、サービス名が入ったパスワードは簡単に覚えることができ、区別も容易です。
ただしサービス名を入れたパスワードも特定されるリスクが大きくなります。
ログインに直接関係するような言葉、サイトやサービス名を入れたパスワードも、考えてつけたつもりになってしまいますが、同じことは誰しもが考えるものです。
そのためこれらも使うことはやめておいたほうがいいでしょう。
第3位 身近な言葉
単純な数字や文字の羅列、ログインに関係が深い言葉は危険だとここまで紹介してきました。
ではそうではない言葉は安全かと言えばそうではありません。
例えば「iloveyou」、「welcome」、「hello」と言った子どもでも分かるような一般的な言葉や「football」、「ferrari」、「mercedes」と言った趣味に関する言葉も「100 Worst Passwords of 2017! The Full List」の50位以内に入っているのです。
日本人である私たちにはなかなかパスワードには設定しにくいかもしれませんが英語圏の人名やスラングなどもランクインするなど、使用頻度の高い言葉はパスワードとして人気で、それゆえにサイバー犯罪の標的にもされます。
特にこの「100 Worst Passwords of 2017! The Full List」ではスポーツに関する言葉が数多くランクインしています。
サッカーでは「football」のほかにも「soccer」が、野球では「yankees」、「rangers」というようなチーム名がランクインしています。
バスケットボールでは「jordan」、「jordan23」というように、バスケのスーパースターであるマイケル・ジョーダン選手がランクインしています。
また、実はパスワードにもトレンドが存在しているのはご存知ですか。
「100 Worst Passwords of 2017! The Full List」は2017年に作成されたランキングですが、ランキングの16位に「starwars」が入っています。
2017年にはスターウォーズシリーズの最新作である『スターウォーズ8/最後のジェダイ』が放映され、世界的な人気となりました。
ハッカーはポップカルチャーやスポーツの動向をよくチェックしており、パスワードにその年のトレンドを盛り込むことは非常に危険だと言われています。
身近な言葉、自分の趣味などをパスワードを盛り込むことにも慎重になったほうがいいでしょう。
まとめ
今回は、危険なパスワードランキングトップ3を紹介しました。
第1位が単純な数字や文字の羅列、第2位がログイン周りに関係が深い言葉、第3位が身近な言葉です。
今回紹介したものは英語圏のパスワードですが、日本語圏でも半角英数字を使ったパスワードでは英語圏のものと類似のものが使われていると言われています。
加えて日本語圏ではローマ字を使ったパスワードが多く使われており、こちらも警戒が必要です。
第三者に類推できない安全なパスワードを作るにはパスワードを12字以上にすること、ランダムな文字列を使うことが最善ですが、ランダムな文字列を増やし過ぎても把握が困難となります。
そのため第三者が知り得ない情報や普通の会話では使わないような単語の組み合わせをパスワードにすることで、比較的覚えやすく類推の困難なパスワードを設定することがおすすめです。
また同じユーザネームとパスワードの組み合わせを複数のサービスで使わないようにすることで万が一パスワードが漏えいしても被害を最小限に食い止めることができます。
危険なパスワードを避け、なるべく安全なパスワードを使って、快適なネット生活を楽しんでくださいね。