脆弱なIDパスワードランキング
2010年1月22日、セキュリティ関連事業のを展開するImpervaが、個人情報流出被害のパスワード分析結果を報告書をランキング形式で上位10位までを公表した。
分析データ元となったのは、2009年12月のソーシャル・ガジェット大手RockYouがハッカーに侵入され、ユーザー情報3200万件の流出データのパスワードを元にしている。
【もっともよく使用されていたパスワードランキング上位10件】
1位『123456』
2位『12345』
3位『123456789』
4位『Password』
5位『iloveyou』
6位『princess』
7位『rockyou』
8位『1234567』
9位『12345678』
10位『abc123』
分析結果から判断されるのは、慣用単語や数字を順番に並べたものなど、覚えやすさを優先するとパスワードが脆弱なものになる傾向があるようで、ほとんどのユーザーはセキュリティよりも覚えやすさを優先しているような印象を受けるランキングだ。
また、簡単な単語や数字の組み合わせなど、脆弱なパスワード使用のユーザーが半数近くにのぼるという。
脆弱なパスワードがなぜ、クラッキングされやすいかというのは、サイバー攻撃でひとつのIDやパスワードについて、実に40万前後のアタックを繰り返すという。
重要な情報や商取引などの場合は、不規則な文字と数字の組み合わせの羅列でないと極めて危ないということだ。
また、Microsoftが『容易なユーザー名とパスワードのワースト10』を発表している
2009年11月27日米Microsoftのブログで公表された、自動的にサイバー攻撃の実行ターゲットとなりやすい安易なユーザー名とパスワードのワースト10。
1位 Administrator 136971 password 1188
2位 Administrateur 107670 123456 1137
3位 admin 8043 #!comment: 248
4位 andrew 5570 changeme 172
5位 dave 4569 F**kyou(**=uc) 170
6位 steve 4569 abc123 155
7位 tsinternetuser 4566 peter 154
8位 tsinternetusers 4566 Michael 152
9位 paul 4276 andrew 151
10位 adam 3287 matthew 151
※左から、順位/ユーザー名/攻撃回数/パスワード/攻撃回数
上記の統計は、Microsoftが情報収集用に容易したフェイクFTPサーバに対して、サイバー攻撃を受けたユーザーIDとパスワードの組み合わせ情報の数カ月間の収集期間をもとにしている。
ユーザーIDの『Administrator』や『admin』は日本でもかなりの使用頻度が予想される。
ほかに人名をそのまま使用したIDが多いようだ。
『簡単なパスワードやIDは攻撃されやすい』
特にランキング形式で公表がなくても多くのユーザーが認識していても、ではどのような単語や数字になるのかという疑問については、参考にできそうなデータだ。
勿論、10文字以上のユーザー名やパスワードでも、慣用単語や人名などは脆弱であることに変わりなく、一部を数字や記号にしたところで、それらも想定して40万通りの前後のアタックを自動で試みるようだ。
Microsoftは同社提供のパスワードチェッカーのサービスページでパスワード強度の検証を促している。
