米SplashDataが公開したインフォグラフィックス

米SplashDataは1月19日(現地時間)、よく利用されているパスワード「Worst Passwords List」の2015年版を発表した。トップは「123456」で前回と変わらず、相変わらず簡単に見破られてしまうパスワードが利用されている現状を裏付けるものとなった。

Worst Password Listは同社が2011年より実施している年次調査で、消費者に見破られやすいパスワードを知らせることで、強固なパスワード利用を奨励することを目的としたもの。1年間に漏えいした約200万件のパスワード情報を集計した。データの多くは北米と西欧州のユーザーのもので、日本の傾向は若干異なる可能性もある。

今年ワースト1にランクしたのは「123456」で、次は「password」となった。ワースト1、2は調査を始めた当初から上位にランクインしており、昨年と同じ順位をキープした。3位は「12345678」で、昨年4位から1ランクアップした。5位は昨年も5位だった「qwerty」。

数字の羅列は、「123456789」(6位、前年変わらず)、「1234」(8位、前年7位)、「1234567」(9位、昨年11位)、「1234567890」(12位、初登場)、「111111」(14位、昨年15位)と多くランクインしている。また、キーボードの配列にそったqweryのほか、覚えやすい単語の「football」(7位、前年10位)や「baseball」(10位、前年8位)など、人気スポーツが利用される傾向も変わらなかった。スポーツ以外でも覚えやすい言葉を使う傾向は続いており、「dragon」(16位、前年9位)、「princess」(21位、初登場)などがある。パスワードでもトレンドが存在しており、「solo」が23位に、25位に「starwars」が初登場している。

上位にあまり変化がないことなどから、SplashDataでは「ユーザーが選択しているパスワードは引き続きリスクが高いものが多い」としている。また、今年の傾向として「1234567890」などの長いパスワードが出てきているが、「Webサイトとユーザーの両方による安全性を高めようとする努力だろう」と推測しながらも、長くなっただけではセキュリティ対策上ほとんど効果がないとしている。

同社によると、ユーザーの保護対策として、「12文字以上でさまざまな文字数字を組み合わせたパスワードやパスフレーズを使う」「同じパスワードの使い回しをしない」「パスワードマネージャーを利用してパスワードの管理と保護を行い、ランダムなパスワードを生成し、自動的にログインする」という3つのアドバイスを推奨している。