パスワードとして世の中で一番使われている文字列は何だろうか。「password」と思った人、惜しい。10年ぐらい前なら正解だ。「qwerty」と答えた人、なかなかいいセンスだがこちらも不正解。
正解は「123456」。10億件の流出パスワードを解析したところ、142個に1つは123456だったという。誰かのパスワードを破りたかったら、まずは123456を入力することをお勧めする。パスワードを破られたくない人は、絶対に123456を設定してはいけない。
情報源は流出データ
他のユーザーがどのようなパスワードを使っているのかは気になるところだ。とはいえ「あなたはどんなパスワードを使っていますか?」とアンケート調査をしたところで答えてもらえるはずがない。
そこで以前から、セキュリティー企業などはインターネットに流出したパスワードを分析することで、パスワードとしてよく使われる文字列を調べている。
例えばパスワード管理ソフトなどを手がける米スプラッシュデータは調査結果を毎年公表している。それによると2013年から2019年まで7年連続で123456が最も多かったという(表1)。同社は2011年から公表しており、2011年と2012年はpasswordが首位だった。
解析手法や結果をすべて公開
2020年6月、トルコのMiddle East Technical University(中東工科大学)の学生であるアタ・ハクシル氏も同様の調査を実施し、結果を公表した。この調査の大きな特徴は、基にしたデータの出所や調査手法、解析結果のほとんどすべてをソースコード共有サービスのGitHubで公開している▼ことだ(図1)。
10億件の流出パスワードを調査したこのリポートによると、最も多かった文字列はやはり123456だったという(表2)。上位の顔ぶれはスプラッシュデータのランキングとほぼ同じだ。だが同氏の調査はランキングだけでなく様々な結果を具体的に示しているのでとても興味深い。
まず123456はどの程度多いのか。全パスワードの0.722%であり、10億件当たり700万件以上を占める。前述のようにパスワードを142個持ってくると、そのうち1つは123456になる計算だ。