管理者ポータルで最も人気のパスワードは「admin」 69
ストーリー by headless
人気 部門より
人気 部門より
Outpost24 の調査によると、管理者ポータルの流出したパスワードで最も多いのは「admin」だったそうだ
(Outpost24 のブログ記事、
Bleeping Computer の記事)。
調査はマルウェアによる認証情報取得を検出してセキュリティチームに通知する Threat Compass が収集したデータによるもの。管理者ポータルと区分されているサイトの流出パスワード 180 万件に絞り込んだところ、「admin」が 4 万件以上あったという。admin 以外もトップ 20 はすべて既知のデフォルトパスワードか、容易に推測可能なパスワードばかりだったとのこと。
管理者パスワードトップ20は以下の通り。Outpost24はパスワードの予想しやすさに関していえばIT管理者もエンドユーザーと変わりないと評しているが、エンドユーザーの方がましな気もする。スラドの皆さんのご意見はいかがだろうか。
調査はマルウェアによる認証情報取得を検出してセキュリティチームに通知する Threat Compass が収集したデータによるもの。管理者ポータルと区分されているサイトの流出パスワード 180 万件に絞り込んだところ、「admin」が 4 万件以上あったという。admin 以外もトップ 20 はすべて既知のデフォルトパスワードか、容易に推測可能なパスワードばかりだったとのこと。
管理者パスワードトップ20は以下の通り。Outpost24はパスワードの予想しやすさに関していえばIT管理者もエンドユーザーと変わりないと評しているが、エンドユーザーの方がましな気もする。スラドの皆さんのご意見はいかがだろうか。
- admin
- 123456
- 12345678
- 1234
- Password
- 123
- 12345
- admin123
- 123456789
- adminisp
- demo
- root
- 123123
- admin@123
- 123456aA@
- 01031974
- Admin@123
- 111111
- admin1234
- admin1
母集団が「マルウェアによりパスワードを流出させてしまった人」 (スコア:2)
これからわかるのは、マルウェアによりパスワードを流出させてしまうような管理者は、パスワードもいいかげんな傾向にある」ことよね。
組織としてはこの知見をどう活かすのがいいんだろ?
デフォルトパスワードを敢えて禁止せず、管理者就任の翌日時点でデフォルトのままだったら管理者解雇する、とか?
Re:母集団が「マルウェアによりパスワードを流出させてしまった人」 (スコア:3, すばらしい洞察)
デフォルトパスワードがadminの機械を売りつけるメーカーも問題あるかもしれん
Re: (スコア:0)
今時のサーバーOSよろしくパスワードポリシー導入してそんな単純なパスワードは設定不可能一択なのでは。
MSの奴隷なのだがASP.NETだとパスワードポリシーを組み込むように作ることになるけど、他はそんなのないのか?
対した機能でもないしあると思うのだが。
Re: (スコア:0)
この母集団だったらオンプレ環境で評価中のWebアプリなんかも入ってそうだけど。
Re: (スコア:0)
そりゃ、パスワードを盗もうとするやつが真っ先に試すようなパスワードだから当たり前の統計だよね。
もしadminよりも多く「ksa32"#DFJSdwkwjiok」ってパスワードが使われていたとしても、流出件数はadminより少ないよね。
自動車教習所の前で交通量調査して、「ここは教習車が多い」って言ってるような話。
管理者が複数いる場合 (スコア:1)
・管理者ごとに一律権限設定を行うのが面倒なので、一アカウントを共用しがち
・変更を周知するのが面倒なので「デフォルトまま」で、しかも無期限に設定しがち。
……ワンオペで24時間365日のサーバーの面倒見ろとか……
01031974 (スコア:0)
なんの数字だ?
Re:01031974 (スコア:1)
たぶん日付だと思うんだけど、「1974年1月3日」や「1974年3月1日」で検索しても特にメジャーなイベントはなかった
うじゃうじゃ
Re: (スコア:0)
パスワードを設定した日じゃないか
年初めとか
Re: (スコア:0)
1974年に? ようやくCP/Mが出た頃だぞ
Re: (スコア:0)
CP/Mに管理者(もっと広げてユーザー)という概念は無かったと思う。
どちらかと言えばメインフレーム系かUnix系だね。
Re:01031974 (スコア:1)
Re:01031974 (スコア:4, 参考になる)
デフォルトは user 0 で、一応、別のuser番号で作製したファイルは見えない仕様になっていました。
C/NIX という、CP/M80に、UNIX もどきの機能を追加するソフトがあって、なんと、階層フォルダを作成することができました。
で、仕掛けを見ると、階層フォルダと user を紐付けて、cd フォルダ すると、該当の user していして、該当フォルダの中身しか見えないようになっていました。
(これを調べていて、userコマンドを知った)
¶「だますのなら、最後までだまさなきゃね」/ 罵声に包まれて、君はほほえむ。
Re: (スコア:0)
誕生日でしょ。
きっとネットワーク管理者になる星の下に生まれた人たちなんだよ。
Re: (スコア:0)
誕生日だとしても本人の誕生日ではないと思うぞ。TOP20に入るほど同じものが集中してるんだから
Re: (スコア:0)
俺のエスパー能力によると
その日生まれの悪女が次々ITエンジニアに手を出しては捨てた
エンジニアたちは忘れ得ぬ彼女の面影を偲んで
パスワードに彼女の誕生日を設定した
ってところだ
Re:01031974 (スコア:1)
1974年1月3日か1974年3月1日ですかね。
お漏らしした企業の設立日か、管理者や社長の誕生日か?
Re:01031974 (スコア:1)
この並びが円周率の小数点以下289,129,242桁目にあるらしいぞ!
(自然対数の底なら922,840桁目らしい)
Re: (スコア:0)
ミャンマーの憲法改正の日ぐらいしか出てこなかった
https://en.wikipedia.org/wiki/Constitution_of_Myanmar [wikipedia.org]
Re: (スコア:0)
検索したら「すかとろえっち」なる言葉が出てくる。わけわからん。
Re: (スコア:0)
オフトピだけど、一時期クレジットカードやキャッシュカードの券面に42NORとか33NANDとか2DFFとか42XORとか書いてたことがありました。えぇ7402とか7410とか暗証番号のヒントだったんですがすっかり忘れてしまいましたわ。最後の74を見て懐かしく思い出しましたよ。
Re: (スコア:0)
特定の機器のデフォルトパスワードかな
123456 (スコア:0)
管理者に限るとadminのほうが人気なのか
Re: (スコア:0)
adminの方がキーボードで打ちやすいやん
Re: (スコア:0)
真面目な話、パスワード分からないときにアタックするならadminでしょ。
50%位は成功してしまう。
Re: (スコア:0)
単にroot-adminのデフォルトのままの運用ではないかしら?
Re: (スコア:0)
「人気の」と表現してしまっていいのかな。「ありがちな」あたりでは?
だからといって (スコア:0)
複雑なパスワードふると、パスワード一覧みたいな紙が流通して、
セキュリティとはなんぞやみたいな事態にもなりかねない。
某システムは300個くらいのパスワードが書かれておりました。
Re: (スコア:0)
300個は多すぎだと思うけど、紙であること自体は、最良ではないかもしれないけど選択肢の1つだとは思うけどな。
パスワード管理ノートなる代物が売られていて日本ITの敗北を感じた→案外セキュリティ的にも悪くないのでは?という話 [togetter.com]
くぁwせdrftgyふじこlp (スコア:0)
のローマ字綴りで良いんじゃないか
admin/managerじゃないのか (スコア:0)
定番だと思ってたけれど定番過ぎて流出とは呼ばないのか?
CHANGE_ON_INSTALLとか
Re: (スコア:0)
そこはsystem/managerでしょ、おじいちゃん
その既定のパスワードは当の昔に廃止されましたよ。
ない (スコア:0)
以前の職場で使っていたのがない。安全なパスワードだったのか。
baka123
Re: (スコア:0)
userがない。個人的には良く使うのだが。
Re: (スコア:0)
enduserの方がマシだって言及が
Re: (スコア:0)
パスワード忘れたときに、すぐに試してみてうまくいくようにするならやっぱり admin, user, password, system ぐらいだよ
#忘れるときは enduser でも忘れる
Re:ない (スコア:1)
サーバーとかの管理系webだとroot/admin高確率で当たりますね
Re: (スコア:0)
@fokai7.
意外と強いパスワードは (スコア:0)
基本、単語のスペルが間違えているとかは強い。
aを@やzを2などアルファベットを数字に置き換えるとか
友達の電話番号の下4桁は強いね
あと入力したパスワードを2回繰り返すか
2回目に何か1つ足すとか
ってのが単純ですが強いパスワードになります。
Re: (スコア:0)
tiananmen64とかは強そう
固定のデフォルトパスワードなんてやめちまえ (スコア:0)
ランダムっぽく生成された文字列を「これが既定のパスワードです」と押し付けてしまう方がマシに思えてしまう。
あと、べからず集で NG なパスワードの設定を拒否するのもセットで。
Re: (スコア:0)
そしてパスワードがわからないとヘルプが来る。
実態はシステム管理者でなく、無能がやらされてるだけだから。
Re: (スコア:0)
親コメントは管理者のパスワードであることを失念している気がする
administrator (スコア:0)
Windows NTの時に管理者アカウントとしてadministratorが初登場した時に「長くて面倒だ」って思った。
# adminでいいじゃん
AdministratorはAdministratorに在らず (スコア:0)
default設定がadministratorというユーザー名であって
Windowsサーバー上で他に作ったアカウントにAdministrator権限を与えればAdministratorになります。
Administrator権限が一人だけです。
似たようなグループに複数系のAdministratorsがあり、問題があるなら旧Administratorを
Administratorsに入れとけばいいだけです。
administratorをadminに置き換えることは可能ってことです。
ドメインのAdministrator以外の別ドメインのAdministratorは一般ユーザーのAdministratorです。
ドメインAとドメインBをフォレスト繋ぐとお互いには読めるが
ドメインAのAdministratorはAdministrat
Re: (スコア:0)
ほぼ親コメの通りだけど、ビルトインのAdministratorはUACのVirtualStoreが無効とか細かい差異があって、
UACのVirtualStore対策が出来てない欠陥アプリがビルトインのAdministratorを要求する事は極稀にある。
みんな英語得意なんだな (スコア:0)
その昔、クローズドな評価環境での話だけどadministraterにしちまった過去がある。
別の管理者に指摘されて初めて気が付いたorz
Re: (スコア:0)
adminなら間違いが発覚しなくていいな
Re: (スコア:0)
カタカナのアドミニで覚えてadminiにした人いないかな
PDFのパスワードリストが欲しい (スコア:0)
最近PDF用のパスワードリストが欲しいと思ったんだが、平文で大量に保存されているものでもないから案外ないのよね。
暗号化ZIPのパスワードリストも同様。
オンラインクラッカーツールとかなら統計取ってるかもしれないけど。