2019年も大量のアカウントデータが流出した年となった。年末になると、流出したデータを整理し、利用されているパスワードのランキングが発表される。当然、こうしたパスワードはサイバー攻撃で悪用されるため、最も使ってはいけないパスワードと考えられる。
しかし、広く利用されているパスワードを使うユーザーは後を絶たず、依然として、弱いパスワードが世界中で使われるという状況が続いている。
NordPassはこのほど、今年のデータ侵害において漏洩した5億件ほどのパスワードを分析した結果を「Top 200 worst passwords of 2019」として公開した。上位200のパスワードがリストアップされている。漏洩したパスワードのデータは匿名の研究者から寄贈されたものだという。
上位20のパスワードは次のとおり。
順位 | パスワード |
---|---|
1 | 12345 |
2 | 123456 |
3 | 123456789 |
4 | test1 |
5 | password |
6 | 12345678 |
7 | zinch |
8 | g_czechout |
9 | asdf |
10 | qwerty |
11 | 1234567890 |
12 | 1234567 |
13 | Aa123456. |
14 | iloveyou |
15 | 1234 |
16 | abc123 |
17 | 111111 |
18 | 123123 |
19 | dubsmash |
20 | test |
例年、トップ10やトップ20はほとんど変わらない。12345が不動の1位であり、これに類似した数字の羅列や数字のパターン、人名やキーボードの入力パターンなどがパスワードとして使われることが多い。
以前、英国立サイバーセキュリティーセンターも似たような分析結果を公表、キャラクター名という分類ではpokemonが使われることが多いと指摘していたが、NordPassに掲載されたデータにもpokemonは含まれている(143位)。
こうしたデータは既に漏洩したアカウントデータなどをもとに作られており、攻撃者や攻撃用ツールの開発者も同様のデータを持っていると言える。こうしたパスワードはすぐにサイバー攻撃に悪用されるため、アカウント窃取などの被害を受けやすくなる。
今回、公開されたトップ200のパスワードに自身が利用しているパスワードが含まれている場合、直ちにリストに掲載されていないより強いパスワードに変更することが望まれる。