BLOG
2015年01月22日 02時14分 JST | 更新 2015年01月22日 02時14分 JST

最悪のパスワード、昨年1位の「password」は2位に セキュリティ強化のためにできる工夫とは?

十分な強度をもつパスワードを指定することを怠っている人のなんと多いことか。とりあえず「最悪のパスワード」リストをみてみよう。

TechCrunch Japan

2014年は、デジタル・セキュリティについての話題が多く登場した年でもあった。被害者となるのも、もはやテック系の業界に身を置く人や、新手のサービスに関わる人ばかりではない。たとえばSnapchatTarget、あるいはSony Entertainmentの情報が漏洩したりもして、セキュリティ被害というのが誰の身にも起こりえることが明らかになってきた。セキュリティ被害といっても、NSAの動向がどうしたというような難しい話をしようとしているのではない。インターネット上での活動を増加させつつある私たち自身が、十分な対応をとっていないことが多いのだ。たとえばSplashDataがリリースした「最悪のパスワード」(2014年にリークされた300万のパスワードから、「人気」のパスワードをリストしたもの)を見てもそれは明らかだ。十分な強度をもつパスワードを指定することを怠っている人のなんと多いことか。

とりあえず「最悪のパスワード」リストをみてみよう。

1. 123456

2. password

3. 12345

4. 12345678

5. qwerty

6. 123456789

7. 1234

8. baseball

9. dragon

10. football

11. 1234567

12. monkey

13. letmein

14. abc123

15. 111111

16. mustang

17. access

18. shadow

19. master

20. michael

21. superman

22. 696969

23. 123123

24. batman

25. trustno1

ちなみに昨年の集計では「password」が1位だった。パスワードと言われたのでpasswordと入力するというような、最低最悪の段階からくらべれば、まあ多少は進化したと言えるのかもしれない。ちなみに「dragon」というパスワードも人気だ。「強さ」により侵略に備えるイメージなのかもしれないが、不的確なパスワードの代表と言える存在だ。

現在では、パスワードの脆弱性を回避するための簡単なツールも用意されている。もちろん「パスワード」という仕組み自体が時代遅れのものとなっているという見方もあるので、そのような中、パスワード用のツールを使うというのはナンセンスだと感じる人もいるだろう。しかし、たとえばパスワード管理ツールを利用することで、パスワードの強度は保たれ、そして更新時もきちんと対処してくれて、安全な場所にパスワードを保存してもらえたりするようにはなるわけだ。

そうはいっても、簡単なツールを利用することすらいやだという人もいることだろう。そういう人は自分の個人情報(誕生日や郵便番号など)と関係した語をパスワードとして用いがちだ。そうした行為は「いけないこと」とされているが、しかしそうした場合でもパスワードを強化する方法はある。

たとえばパスワードとして用いたい語の配列を混ぜてしまうという方法だ。たとえば「123456」や「qwerty」を使っている人なら、順番に混ぜてしまって「q1w2e3r4t5」というパスワードを利用することも考えられる。さらに「My uncle lives in Kansas」を使って「MyUncleLivesInKansas」をパスワードとしたいと考える人もいるだろう。このパスワードはあまりに弱いが、しかしここに番地を加えて「MyUncleLivesInKansas207」とすれば多少の強化にはなる。長くて、そしてアルファベットと数字を混ぜることで、パスワードを強化しつつも覚えやすいものを作ることができる。もちろん完全にランダムなパスワードに比べれば弱いものだ。ただ、こうしたちょっとした工夫をすることで、「最悪のパスワード」リストにあるようなものを使わないで済むようになる。