パスワードを忘れた? アカウント作成
15491016 story
情報漏洩

2021 年版流出パスワードトップ 200、 世界では「123456」が 1 位、日本では「password」が 1 位 109

ストーリー by headless
人気 部門より
パスワードマネージャーの NordPass が 2021 年版の人気パスワードトップ 200 を公開している (NordPass の記事HackRead の記事Mashable の記事)。

調査は NordPass がサイバーセキュリティインシデント専門の独立系研究者と協力してまとめたもので、4 TB のデータベースを調査したという。1 位は各社の調査で 10 年以上にわたってトップを独走している「123456」であり、2 位以下も「123456789」「12345」「qwerty」「password」といった常連ばかりだが、今回の調査では国別・性別のデータもまとめられている。

日本では 85,561,976 件のパスワードが流出しており、日本人 1 人あたり 0.68 件が流出した計算になる。人口 1 人あたりの流出件数はロシア (19.902 件)やチェコ (6.221 件)、フランス (6.025 件)、ドイツ (5.838 件)、米国 (5.158 件)などで多い。

日本のパスワード 1 位は「password」となっており、以下「123456」「123456789」「12345678」「1qaz2wsx」のように世界共通のパスワードが上位を占める。一方で、現地語の単語を使用したパスワードが数多く出現するのが国別データの特徴だ。日本の場合は「sakura (15位)」「takahiro (21位)」「fujitvpass (25位)」「doraemon (28位)」などが上位に入っている。

また、「nekoneko (35位)」「lovelove (38位)」「nikoniko (46位)」「tomotomo (53位)」「hirohiro (54位)」といった2音節を繰り返したパスワードも目立つ。トップ 5 のパスワードが 1 秒以内にクラック可能なのに対し、日本人の名前らしきパスワードの中にはクラックに 3 時間を要するものもあるが、日本に特化したパスワードリストを使用すればクラック時間は短縮されるだろう。

スラドの皆さんが使用しているパスワードは見つかっただろうか。
  • by wolf03 (39616) on 2021年11月21日 10時54分 (#4156416) 日記
    nekonekoなら後ろに足せる言葉があるだろう
    ここに返信
  • by sitosi (38952) on 2021年11月21日 16時17分 (#4156503)
    パスワードそのものではないが、パスワードを設定した後に「秘密の質問」の設定も要求してくるサイトが結構多い。これで困るのが秘密の質問を自分で作れずにいくつかの選択肢から選択するしかないサイトが結構多いこと。Apple なんかもそうだったように記憶しているのだけれど、選択しようのない質問しか提示されないサイトが多くて辟易しています。

    「1年生の時の担任の名前」←覚えてない
    「ペットの名前」←ペット飼ったことがない
    「好きな歌手の名前」←特になし
    「好きな野球チーム」←スポーツ興味なし
    「初めて旅行した町」←覚えてるわけがない
    「初恋の人の名前」←初恋って、保育園の時の○○ちゃんかな? 小学校の時の○○ちゃん? ╳╳ちゃん? 高校の時の? いったい誰が初恋の相手なんだろう?

    こういう「秘密の質問」はせめて自分で作らせて欲しい。
    ここに返信
    • by KuroButa (37060) on 2021年11月22日 9時44分 (#4156775) 日記

      昨日、パスワードの再設定をしたサイトの「秘密の質問」で、「母親の旧姓は?」という表示が出たので違和感を感じました。周りに養子に行ってる人間が多いので。
      昔はなんとも思わなかったのですが時代の流れですかねぇ・・・

    • by nemui4 (20313) on 2021年11月21日 16時56分 (#4156525) 日記

      >パスワードそのものではないが、パスワードを設定した後に「秘密の質問」の設定も要求してくるサイトが結構多い。

      第三者に推測されやすい情報を本人確認に使うのはセキュリティホーになりやすいということで、その手のは廃れたと思ってたけどまだあるのでしょうね。

  • 完全にランダムにする以外にない。

    毎回入力するものなんだから、1個だけなら憶えられるよ。それをマスターキーにして、残りはパスワード管理ソフトに管理させる。それが一番。

    例えば、4桁のランダムな英数字(大文字小文字区別)で情報量は23bit、これに8,000語からランダムに選んだ英単語3つで13x3=39bit、合せて61bit。これだけあればパスワードの強度としては十分。

    これで作ると、例えばこんなパスワード(パスフレーズ)になる。これぐらいなら憶えられますよ。

    ts2h cigar aloof erda

    問題は、こういうパスワードを自動生成できるソフトがないってことなんですが。PaswordTechが良かったんだけど、最新バージョンでわかりにくく使いにくくなったからなぁ。あと、パスワード管理ソフトがハックされたら終わるという難点も。
    ここに返信
  • by hakase (7459) on 2021年11月22日 20時00分 (#4157113) ホームページ
    左手で頬杖突いたままキーボード入力できて便利だわ
    ここに返信
  • by Anonymous Coward on 2021年11月21日 10時19分 (#4156406)

    ところで、「takahiro (21位)」ってなんなんだ。たかひろさん、そんなに多いの?

    ここに返信
  • by Anonymous Coward on 2021年11月21日 14時02分 (#4156468)

    あなたのパスワードは

    ・記号あり8文字未満
    ・記号あり16文字未満
    ・記号あり32文字未満
    ・記号あり64文字未満
    ・その他:コメントにパスワードをご記入ください(オイマテ

    ここに返信
  • by wane (8495) on 2021年11月22日 11時28分 (#4156825)

    4位の「qwerty」と94位の「qwerty」はどう違うんだろう?

    ここに返信
  • by Anonymous Coward on 2021年11月21日 10時34分 (#4156409)

    日本のベスト200に「pasuwa-do」が入っていなかった。おすすめ
    あと日本では
    nekoneko、lovelove、nikoniko、masamasa、hogehoge、takataka、yukiyuki
    など2回繰り返すのが多い。3回繰り返すのもおすすめ

    ここに返信
  • by Anonymous Coward on 2021年11月21日 11時48分 (#4156428)

    最近、日本語の平仮名、カタカナ、漢字をパスワードが組めるサイトが有りましたね。
    半角英数だけでなく全角で日本語パスワードならだいぶ事情が変わってくると思います。
    でもそれより、このNordPassって有料なのに利用者のパスを晒しているってどういう事?
    警鐘の為に晒してますという言い訳なのでしょうかね?

    ここに返信
    • by Anonymous Coward on 2021年11月21日 11時57分 (#4156431)

      さすがに有料ユーザのデータは使用していないと思いたいです。

      >The list of passwords was compiled in partnership with independent researchers specializing in research of cybersecurity incidents. They evaluated a 4TB database.

      ソースはサイバーセキュリティ事件ということなので、流出したデータがソースなのでは。

    • by Anonymous Coward on 2021年11月21日 12時54分 (#4156451)

      パスワードを設定してください
      (半角英数字、一部記号※のみ使用可)
        [           ]

      ひみつの言葉を設定してください
        [           ]

      昔からあるこの組み合わせの矛盾感ね
      ひみつの言葉なんて重要なものに日本語受け付けられるならパスワードも日本語通せた方が強度高いだろうし
      パスワードが半角じゃなきゃ駄目な理由あるならひみつの言葉でも同様だろうって

    • by Anonymous Coward on 2021年11月21日 15時05分 (#4156486)

      日本語を許可すると入力時に入力ソフトに表示されてしまうことがあるからわざわざ禁止しているんです。

    • by Anonymous Coward on 2021年11月21日 16時23分 (#4156507)

      最近、日本語の平仮名、カタカナ、漢字をパスワードが組めるサイトが有りましたね。

      これには脆弱性があるんですよねぇ
      IMEのサジェスト変換とサジェストデータ共有送信

      大抵のIMEはサジェストデータ共有送信がデフォルト有効なので
      これでパスワード流出してしまう

      formでパスワードフィールドが日本語有効になっているサイトは
      こういった配慮のないとこですので要注意です

      強固にしてもこういう罠があるから逆効果ってのもあるのですよ

    • by Anonymous Coward

      パスワードだけあってもユーザーリスト(ユーザーごとの各サイトのログインID)がなければ使いようがないんだからそこは別にどうでもいいと思うけど

      ただ、この手のニュースってたいていは流出したパスワードの調査結果が主だと思うけど、自分とこのユーザーの調査結果って言うのは珍しい気がする

      • by Anonymous Coward

        ん、なんか読み間違ってたけど、別に自分のところのデータを使ってとは書いてなかった。流出データかな

    • by Anonymous Coward

      > The list of passwords was compiled in partnership with independent researchers specializing in research of cybersecurity incidents. They evaluated a 4TB database.

      なんで、最近漏れたのを研究者に集計させたんじゃね
      客のパスワードを晒してるわけじゃないと思う、ってかそれやってたら信用ないわ

  • by Anonymous Coward on 2021年11月21日 11時49分 (#4156429)

    平文でパスワードを保管してるのか?
    4TBデータってどうやって取得したんだ?

    ここに返信
    • by Anonymous Coward

      こういうのは漏洩して出回ってるのを使うんやで
      自社のDB晒してるわけではない

  • by Anonymous Coward on 2021年11月21日 12時07分 (#4156436)

    28位draemon、68位onepiece、 167位rakisuta、169位korosuke、100位ganndamu、102位anpanman、179位gundam
    アニメ関連の辞書が日本人には有効……

    155位pakistan、192位yarakasita、154位slipknotと198位metallica、が個人的には気になる

    ここに返信
typodupeerror

クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人

読み込み中...