パスワードを忘れた? アカウント作成
17429248 story
セキュリティ

管理者ポータルで最も人気のパスワードは「admin」 69

ストーリー by headless
人気 部門より
Outpost24 の調査によると、管理者ポータルの流出したパスワードで最も多いのは「admin」だったそうだ (Outpost24 のブログ記事Bleeping Computer の記事)。

調査はマルウェアによる認証情報取得を検出してセキュリティチームに通知する Threat Compass が収集したデータによるもの。管理者ポータルと区分されているサイトの流出パスワード 180 万件に絞り込んだところ、「admin」が 4 万件以上あったという。admin 以外もトップ 20 はすべて既知のデフォルトパスワードか、容易に推測可能なパスワードばかりだったとのこと。

管理者パスワードトップ20は以下の通り。Outpost24はパスワードの予想しやすさに関していえばIT管理者もエンドユーザーと変わりないと評しているが、エンドユーザーの方がましな気もする。スラドの皆さんのご意見はいかがだろうか。
  1. admin
  2. 123456
  3. 12345678
  4. 1234
  5. Password
  6. 123
  7. 12345
  8. admin123
  9. 123456789
  10. adminisp
  11. demo
  12. root
  13. 123123
  14. admin@123
  15. 123456aA@
  16. 01031974
  17. Admin@123
  18. 111111
  19. admin1234
  20. admin1
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • これからわかるのは、マルウェアによりパスワードを流出させてしまうような管理者は、パスワードもいいかげんな傾向にある」ことよね。
    組織としてはこの知見をどう活かすのがいいんだろ?
    デフォルトパスワードを敢えて禁止せず、管理者就任の翌日時点でデフォルトのままだったら管理者解雇する、とか?

    • by Anonymous Coward on 2023年10月22日 21時10分 (#4550508)

      デフォルトパスワードがadminの機械を売りつけるメーカーも問題あるかもしれん

      親コメント
    • by Anonymous Coward

      今時のサーバーOSよろしくパスワードポリシー導入してそんな単純なパスワードは設定不可能一択なのでは。
      MSの奴隷なのだがASP.NETだとパスワードポリシーを組み込むように作ることになるけど、他はそんなのないのか?
      対した機能でもないしあると思うのだが。

    • by Anonymous Coward

      この母集団だったらオンプレ環境で評価中のWebアプリなんかも入ってそうだけど。

    • by Anonymous Coward

      そりゃ、パスワードを盗もうとするやつが真っ先に試すようなパスワードだから当たり前の統計だよね。

      もしadminよりも多く「ksa32"#DFJSdwkwjiok」ってパスワードが使われていたとしても、流出件数はadminより少ないよね。

      自動車教習所の前で交通量調査して、「ここは教習車が多い」って言ってるような話。

  • ・管理者ごとに一律権限設定を行うのが面倒なので、一アカウントを共用しがち
    ・変更を周知するのが面倒なので「デフォルトまま」で、しかも無期限に設定しがち。

    ……ワンオペで24時間365日のサーバーの面倒見ろとか……

  • by Anonymous Coward on 2023年10月22日 21時12分 (#4550510)

    なんの数字だ?

    • by albireo (7374) on 2023年10月22日 21時38分 (#4550519) 日記

      たぶん日付だと思うんだけど、「1974年1月3日」や「1974年3月1日」で検索しても特にメジャーなイベントはなかった

      --
      うじゃうじゃ
      親コメント
      • by Anonymous Coward

        パスワードを設定した日じゃないか
        年初めとか

        • by Anonymous Coward

          1974年に? ようやくCP/Mが出た頃だぞ

          • by Anonymous Coward

            CP/Mに管理者(もっと広げてユーザー)という概念は無かったと思う。
            どちらかと言えばメインフレーム系かUnix系だね。

            • by nekopon (1483) on 2023年10月23日 10時07分 (#4550657) 日記
              USERコマンドはあったんですよ! (さほど意味は無かったらしいですが)
              親コメント
              • Re:01031974 (スコア:4, 参考になる)

                by asano_nagi (37547) on 2023年10月23日 10時26分 (#4550662) ホームページ
                CP/Mの user コマンドは、user 0 ~ user 15 までが指定できました。
                デフォルトは user 0 で、一応、別のuser番号で作製したファイルは見えない仕様になっていました。

                C/NIX という、CP/M80に、UNIX もどきの機能を追加するソフトがあって、なんと、階層フォルダを作成することができました。
                で、仕掛けを見ると、階層フォルダと user を紐付けて、cd フォルダ すると、該当の user していして、該当フォルダの中身しか見えないようになっていました。
                (これを調べていて、userコマンドを知った)
                --
                ¶「だますのなら、最後までだまさなきゃね」/ 罵声に包まれて、君はほほえむ。
                親コメント
      • by Anonymous Coward

        誕生日でしょ。
        きっとネットワーク管理者になる星の下に生まれた人たちなんだよ。

        • by Anonymous Coward

          誕生日だとしても本人の誕生日ではないと思うぞ。TOP20に入るほど同じものが集中してるんだから

          • by Anonymous Coward

            俺のエスパー能力によると
            その日生まれの悪女が次々ITエンジニアに手を出しては捨てた
            エンジニアたちは忘れ得ぬ彼女の面影を偲んで
            パスワードに彼女の誕生日を設定した
            ってところだ

    • by Anonymous Coward on 2023年10月22日 21時41分 (#4550522)

      1974年1月3日か1974年3月1日ですかね。
      お漏らしした企業の設立日か、管理者や社長の誕生日か?

      親コメント
    • by Anonymous Coward on 2023年10月22日 23時19分 (#4550549)

      この並びが円周率の小数点以下289,129,242桁目にあるらしいぞ!
      (自然対数の底なら922,840桁目らしい)

      親コメント
    • by Anonymous Coward

      ミャンマーの憲法改正の日ぐらいしか出てこなかった
      https://en.wikipedia.org/wiki/Constitution_of_Myanmar [wikipedia.org]

    • by Anonymous Coward

      検索したら「すかとろえっち」なる言葉が出てくる。わけわからん。

    • by Anonymous Coward

      オフトピだけど、一時期クレジットカードやキャッシュカードの券面に42NORとか33NANDとか2DFFとか42XORとか書いてたことがありました。えぇ7402とか7410とか暗証番号のヒントだったんですがすっかり忘れてしまいましたわ。最後の74を見て懐かしく思い出しましたよ。

    • by Anonymous Coward

      特定の機器のデフォルトパスワードかな

  • by Anonymous Coward on 2023年10月22日 21時15分 (#4550511)

    管理者に限るとadminのほうが人気なのか

    • by Anonymous Coward

      adminの方がキーボードで打ちやすいやん

    • by Anonymous Coward

      真面目な話、パスワード分からないときにアタックするならadminでしょ。
      50%位は成功してしまう。

    • by Anonymous Coward

      単にroot-adminのデフォルトのままの運用ではないかしら?

    • by Anonymous Coward

      「人気の」と表現してしまっていいのかな。「ありがちな」あたりでは?

  • by Anonymous Coward on 2023年10月22日 21時37分 (#4550517)

    複雑なパスワードふると、パスワード一覧みたいな紙が流通して、
    セキュリティとはなんぞやみたいな事態にもなりかねない。

    某システムは300個くらいのパスワードが書かれておりました。

  • by Anonymous Coward on 2023年10月22日 22時39分 (#4550540)

    のローマ字綴りで良いんじゃないか

  • by Anonymous Coward on 2023年10月22日 22時40分 (#4550541)

    定番だと思ってたけれど定番過ぎて流出とは呼ばないのか?
    CHANGE_ON_INSTALLとか

    • by Anonymous Coward

      そこはsystem/managerでしょ、おじいちゃん
      その既定のパスワードは当の昔に廃止されましたよ。

  • by Anonymous Coward on 2023年10月22日 22時45分 (#4550543)

    以前の職場で使っていたのがない。安全なパスワードだったのか。
    baka123

    • by Anonymous Coward

      userがない。個人的には良く使うのだが。

      • by Anonymous Coward

        enduserの方がマシだって言及が

        • by Anonymous Coward

          パスワード忘れたときに、すぐに試してみてうまくいくようにするならやっぱり admin, user, password, system ぐらいだよ
          #忘れるときは enduser でも忘れる

    • by Anonymous Coward

      @fokai7.

  • by Anonymous Coward on 2023年10月22日 23時46分 (#4550554)

    基本、単語のスペルが間違えているとかは強い。
    aを@やzを2などアルファベットを数字に置き換えるとか
    友達の電話番号の下4桁は強いね
    あと入力したパスワードを2回繰り返すか
    2回目に何か1つ足すとか
    ってのが単純ですが強いパスワードになります。

  • by Anonymous Coward on 2023年10月22日 23時47分 (#4550555)

    ランダムっぽく生成された文字列を「これが既定のパスワードです」と押し付けてしまう方がマシに思えてしまう。
    あと、べからず集で NG なパスワードの設定を拒否するのもセットで。

    • by Anonymous Coward

      そしてパスワードがわからないとヘルプが来る。
      実態はシステム管理者でなく、無能がやらされてるだけだから。

      • by Anonymous Coward

        親コメントは管理者のパスワードであることを失念している気がする

  • by Anonymous Coward on 2023年10月22日 23時58分 (#4550557)

    Windows NTの時に管理者アカウントとしてadministratorが初登場した時に「長くて面倒だ」って思った。

    # adminでいいじゃん

    • default設定がadministratorというユーザー名であって
      Windowsサーバー上で他に作ったアカウントにAdministrator権限を与えればAdministratorになります。
      Administrator権限が一人だけです。
      似たようなグループに複数系のAdministratorsがあり、問題があるなら旧Administratorを
      Administratorsに入れとけばいいだけです。
      administratorをadminに置き換えることは可能ってことです。

      ドメインのAdministrator以外の別ドメインのAdministratorは一般ユーザーのAdministratorです。
      ドメインAとドメインBをフォレスト繋ぐとお互いには読めるが
      ドメインAのAdministratorはAdministrat

      • by Anonymous Coward

        ほぼ親コメの通りだけど、ビルトインのAdministratorはUACのVirtualStoreが無効とか細かい差異があって、
        UACのVirtualStore対策が出来てない欠陥アプリがビルトインのAdministratorを要求する事は極稀にある。

  • by Anonymous Coward on 2023年10月23日 7時14分 (#4550598)

    その昔、クローズドな評価環境での話だけどadministraterにしちまった過去がある。
    別の管理者に指摘されて初めて気が付いたorz

    • by Anonymous Coward

      adminなら間違いが発覚しなくていいな

      • by Anonymous Coward

        カタカナのアドミニで覚えてadminiにした人いないかな

  • by Anonymous Coward on 2023年10月23日 8時33分 (#4550620)

    最近PDF用のパスワードリストが欲しいと思ったんだが、平文で大量に保存されているものでもないから案外ないのよね。
    暗号化ZIPのパスワードリストも同様。
    オンラインクラッカーツールとかなら統計取ってるかもしれないけど。

typodupeerror

ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ

読み込み中...