全2073文字
PR

 パスワードとして世の中で一番使われている文字列は何だろうか。「password」と思った人、惜しい。10年ぐらい前なら正解だ。「qwerty」と答えた人、なかなかいいセンス。だがこちらも不正解。

 正解は「123456」である。10億件の流出パスワードを解析したところ、142個に1つは123456だったという。誰かのパスワードを破りたかったら、まずは123456を入力することをお勧めする。パスワードを破られたくない人は、絶対に123456を設定してはいけない。

透明性の高い調査結果

 みんながどのようなパスワードを使っているのかは気になるところだ。とはいえ「あなたはどんなパスワードを使っていますか?」とアンケート調査をしたところで答えてもらえるはずがない。

 そこで以前から、セキュリティー企業などはインターネットに流出したパスワードを分析することで、パスワードとしてよく使われる文字列を調べている。

 例えばパスワード管理ソフトなどを手がける米スプラッシュデータは調査結果を毎年公表している。それによると2013年から2019年まで7年連続で123456が最も多かったという。同社は2011年から公表しており、2011年と2012年はpasswordが首位だった。

 2020年6月、トルコのMiddle East Technical University(中東工科大学)の学生であるAta Hakçıl氏も同様の調査を実施し、結果を公表した。この調査の大きな特徴は、基にしたデータや調査手法、解析結果のほとんどをGitHubで公開していることだ。

パスワードの調査リポート
パスワードの調査リポート
(出所:GitHub、https://github.com/FlameOfIgnis/Pwdb-Public)
[画像のクリックで拡大表示]

 10億件の流出パスワードを調査したこのリポートによると、最も多かった文字列はやはり123456だったという。同氏の調査はランキングだけでなく様々な結果を具体的に示しているのでとても興味深い。

 まず123456はどの程度多いのか。全パスワードの0.722%であり、10億件当たり700万件以上を占める。前述のようにパスワードを142個持ってくると、そのうち1つは123456になる計算だ。

辞書攻撃で簡単に破られる

 「自分は123456を使っていないから大丈夫」などとのんきに構えてはいけない。今回の調査では、ユーザーが設定するパスワードには偏りがあることも判明した。よく使われるパスワードを使っていると、123456と同様に簡単に破られる恐れがある。

 今回の調査対象であるパスワード10億件には1億6891万9919種類のパスワードが含まれていた。だが出現頻度が高かった上位1000パスワードだけで、全パスワードの6.607%を占めた。

 さらに上位100万パスワードは全パスワードの36.28%、上位1000万パスワードだと全パスワードの過半数である54.00%に達する。Hakçıl氏は上位1000万パスワードのリストを公開している。このリストを使って辞書攻撃を仕掛ければ結構な確率でパスワードを破れそうだ。