2019年も大量のアカウントデータが流出した年となった。年末になると、流出したデータを整理し、利用されているパスワードのランキングが発表される。当然、こうしたパスワードはサイバー攻撃で悪用されるため、最も使ってはいけないパスワードと考えられる。

しかし、広く利用されているパスワードを使うユーザーは後を絶たず、依然として、弱いパスワードが世界中で使われるという状況が続いている。

NordPassはこのほど、今年のデータ侵害において漏洩した5億件ほどのパスワードを分析した結果を「Top 200 worst passwords of 2019」として公開した。上位200のパスワードがリストアップされている。漏洩したパスワードのデータは匿名の研究者から寄贈されたものだという。

上位20のパスワードは次のとおり。

順位 パスワード
1 12345
2 123456
3 123456789
4 test1
5 password
6 12345678
7 zinch
8 g_czechout
9 asdf
10 qwerty
11 1234567890
12 1234567
13 Aa123456.
14 iloveyou
15 1234
16 abc123
17 111111
18 123123
19 dubsmash
20 test
  • Top 200 worst passwords of 2019

    Top 200 worst passwords of 2019

例年、トップ10やトップ20はほとんど変わらない。12345が不動の1位であり、これに類似した数字の羅列や数字のパターン、人名やキーボードの入力パターンなどがパスワードとして使われることが多い。

以前、英国立サイバーセキュリティーセンターも似たような分析結果を公表、キャラクター名という分類ではpokemonが使われることが多いと指摘していたが、NordPassに掲載されたデータにもpokemonは含まれている(143位)。

こうしたデータは既に漏洩したアカウントデータなどをもとに作られており、攻撃者や攻撃用ツールの開発者も同様のデータを持っていると言える。こうしたパスワードはすぐにサイバー攻撃に悪用されるため、アカウント窃取などの被害を受けやすくなる。

今回、公開されたトップ200のパスワードに自身が利用しているパスワードが含まれている場合、直ちにリストに掲載されていないより強いパスワードに変更することが望まれる。