パスワードがセキュリティ対策として万全ではないことは周知の事実だが、それでもユーザ名(ID)とパスワードの2ファクタ認証はいまだ多くのWebサイトやサービスが利用する認証方法だ。

BetaNewsの記事「Bad passwords are worse than you think(悪いパスワードは、あなたの想像以上に悪い)」で、英国のセキュリティ専門家、David Harley氏がよく使われているパスワード25種類を読み解きながら、使うべきではないパスワードのルールを類推しているので、紹介しよう。

よく利用されるパスワードには数々の統計があるが、Harley氏が記事で引用しているものは以下の25となる。

  • password
  • 123456
  • 12345678
  • 1234
  • qwerty
  • 12345
  • dragon
  • pussy
  • baseball
  • football
  • letmein
  • monkey
  • 696969
  • abc123
  • mustang
  • michael
  • shadow
  • master
  • jennifer
  • 111111
  • 2000
  • jordan
  • superman
  • harley
  • 1234567

これを英字と数字のアルファニューメリックに並べて比較しながら、Harley氏はまず、文字数が少ないもの、同じ文字の連続(「aaaaa」「111111」など)は危険性が高いとしている。

また、数字を1から並べたパスワードはもう使わないほうが良さそうだ。「123456」「12345678」「1234」など、5つも上記のリストに入っている。ハッカーが試さないわけがない。

以下に、Harley氏が導きだした教訓を挙げる。

* よく利用されるパスワードは使わないよう、「特に上位3位(「password」「123456」「12345678」)」という。それどころか、リストがあるのなら上位100でも1000でも「使わないに越したことはない」とのこと。

  • 単一の文字の連続は、数字であれアルファベットであれ非常に危険性が高い。

  • 数字やアルファベットの昇順(「123456」「abcdefg」)は、推測による攻撃、辞書攻撃、アルゴリズム攻撃において危険である。

  • 辞書にある文字(「dragon」など)は、ハッキングの際に辞書攻撃ができる場合は非常に危険。

  • 性的な含みのある言葉や侮辱なするために使われる言葉も、推測による攻撃や辞書攻撃で見破られやすい。

ビジネス向けSNSのLinkedInや米Yahoo!のパスワード漏洩事件やハッカー集団によるパスワード情報の公開など、パスワードが関連したセキュリティ事件が後を絶たない。身を守るためには、少しでも見破られにくいパスワードの設定とパスワードの定期的な変更などの対策が有効だ。記事を参考に、自分が使っているパスワードを見直してはいかがだろうか?