パスワードを忘れた? アカウント作成
19733812 story
情報漏洩

2023年版流出パスワードランキング、「123456」が1位に復帰 19

ストーリー by nagazou
復帰 部門より
headless 曰く、

NordPass が 2023 年版の流出パスワード トップ 200 を公開している (Top 200 Most Common PasswordsThe Register の記事)。

今回のランキングは外部リサーチャーの協力を得てダークウェブを含むさまざまなソースから抽出した流出パスワードのデータベース 4.3 TB を調査したもので、35 か国分のデータが含まれる。日本のデータは昨年も少なかったが、今年は含まれていないようだ。

昨年のランキングでは何年も1位を維持していた「12345」「123456」といったパスワードを抑えて「password」が 1 位となっていたが、今年は昨年 2 位の「123456」が 1 位に復帰した。「password」は 7 位に後退しており、過去 4 年間のランキング (PDF) に入っていなかった「admin」が 2 位となっている。

パスワードのクラックに要する時間でみると、139 件が 1 秒未満でクラック可能とされる。クラックに時間がかかるパスワードは 173 位の「theworldinyourhand」が数世紀、54 位の「admintelecom」が 23 日、56 位の「123meklozed」が 12 日、151 位の「undefined」が 16 時間となっている。

これらのクラックに時間がかかるパスワードは過去 4 年間のランキングには入っていないものばかりだ。このほか、過去 4 年間のランキングに見られないパスワードとしては、1秒未満でクラック可能な「*」の羅列が (19 位「********」、27 位「******」、52 位「**********」、63 位「*************」) が目立つ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by tamaco (19059) on 2023年11月22日 13時01分 (#4568081)

    パスワードチェッカに自分のパスワードを入れてみて強度チェックしてパスワードが漏洩に1メセタ

  • by Anonymous Coward on 2023年11月22日 8時20分 (#4567973)

    毎年のあれ、世代ギャップで半分以上初耳なフレーズがあるけど
    あそこから抽出してパスワードにすればかぶらずにイケるかな
    "hikinikudeath"とか

  • by Anonymous Coward on 2023年11月22日 8時40分 (#4567977)

    “theworldinyourhand”で解析に数世紀かかると言われると数字記号混在で面倒なパスワード管理するのが馬鹿らしくなる気がする。
    ここは日本昔ばなし風に
    “alongtjmeagotherewasanoldmanandoldwoman”
    (昔々おじいさんとおばあさんがいました)
    はどうだろう

    • by zambia (36932) on 2023年11月22日 10時31分 (#4568029)

      以前、童謡をパスワードにしてました
      50文字超。
      パスワードを平文保存してやがるサイトから漏出しました

      親コメント
      • by Anonymous Coward

        漏出に動揺したんですね?

      • by Anonymous Coward

        長いパスワードってタイプミスでロックされたりしませんかね

        • by Anonymous Coward

          #4567977 をよく見よう。6文字目とか。

    • by Anonymous Coward

      AIに流出パスワードで学習させたら凄いヒットしやすい辞書作ってくれそう

      • by Anonymous Coward

        学習させすぎて姓名判断みたいにパスワードでその人を占うことが出来るようになったりして
        パスワードからその人の性格や趣味、性癖を判断・・・とか

    • by Anonymous Coward

      timeのiとj入れ替えてるの忘れてログインできなくなるのね

      • by Anonymous Coward

        wereじゃなくてwasなところも味がありますね。
        それならmukasimukasiojiisantoobaasangaimasitaのほうがちょっと短いけど無理に英語にする必要がない分良いような気がしますけど

        • by Anonymous Coward

          「じ」はziだっけ? jiだっけ?
          「し」はshiだっけ? siだっけ?
          でつまずくんですよ

    • by Anonymous Coward

      歌謡曲のフレーズを使ってます
      パスワードじゃなくてパスフレーズだけんども

    • by Anonymous Coward
      supercalifragilisticexpialidociousを使っている人はそれなりにいるだろうなぁ。
    • by Anonymous Coward

      このレポートの注釈部分には「この時間は技術的詳細に依存し…」と書かれていますが、どうやって計算したものか書いてありません。本当に1世紀かかるのかは疑問です。
      このパスワードはユーザ名supportでTelkom Indihomeのモデムのデフォルトパスワード [github.com]に使われていた形跡があります。まず流出していることからしてパスワード解析用の辞書に載っていた可能性があるわけで、辞書による解析をせず、総当たりでやるならこれくらいかかるという程度の意味ではないでしょうか。

    • by Anonymous Coward

      > “theworldinyourhand”で解析に数世紀かかると言われると数字記号混在で面倒なパスワード管理するのが馬鹿らしくなる気がする。

      まさにそういう趣旨で、文字種の強制よりも長さを増やす方向のガイドラインをNISTが出している。

      https://xtech.nikkei.com/atcl/nxt/column/18/00891/072500005/ [nikkei.com]

  • by Anonymous Coward on 2023年11月22日 12時58分 (#4568079)

    1位にするために皆でアカウント作っては流出させる作業頑張ったんだ

  • by Anonymous Coward on 2023年11月22日 17時14分 (#4568234)
    だからあまり重要度のないサイトでもパスワードマネージャーで生成したパスワード使ってる 逆によくログインするようなサイトのパスワードはセキュリティはお察し
  • by Anonymous Coward on 2023年11月22日 20時02分 (#4568318)

    総当りにしても、ハッシュのやり方によって数桁違うと思うんだけど、吹き出しに出てくる「inditicative」って、典型的な、みたいなニュアンス?

typodupeerror

日々是ハック也 -- あるハードコアバイナリアン

読み込み中...