セキュリティ組織の米サンズ・インスティチュートは2011年2月14日、あるWebサイトから漏洩したパスワード情報を解析し、その傾向について解説した。それによると、最も多かったパスワードは「123456」だったという。
サンズ・インスティチュートによれば、ルートキットなどに関する情報を交換する会員制サイト「rootkit.com」から盗まれたと思われるパスワードのリストが、インターネット上で公開されているという。リストには1000件以上のパスワードが含まれている。盗まれた原因は、同サイトで利用しているWebアプリケーションの不具合。現時点では、同サイトは閉鎖されている。
リストに記載されているパスワードを集計したところ、最も多かったのは「123456」。以下、「password」「rootkit」「111111」と続く(図)。パスワードのトップ20は以下の通り。「rootkit」と「r00tk1t」は、サイト名(rootkit.com)にちなんで付けられたと考えられる。
- 123456
- password
- rootkit
- 111111
- 12345678
- qwerty
- 123456789
- 123123
- qwertyui
- 12345
- letmein
- 1234
- abc123
- dvcfghyt
- 000000
- r00tk1t
- ìîñêâà
- 1234567
- 1234567890
- 123
パスワード破りツールを使えば、これらのパスワードは簡単に破られてしまう。このためrootkit.comのユーザーでなくても、これらの文字列はパスワードにしないようサンズ・インスティチュートでは呼びかけている。
また、Webサイトからパスワードが漏れることは珍しいことではなくなっているので、パスワードを使い回さないことも重要だとしている。異なるサイトで同じパスワードを使っていると、芋づる式に破られる恐れがあるからだ。
とはいえ「r00tk1t」のように、サイト名ににちなんだ文字列を設定するのも、考え物だとしている。推測されやすいからだ。例えば、rookit.comで「r00tk1t」をパスワードにしているユーザーは、Googleのサービスでは「g00gl3」といった文字列をパスワードにしている可能性が高いだろうという。
