最もハッキングされやすいパスワードが調査から判明--傾向と対策は?

Lance Whitney (Special to ZDNET.com) 翻訳校正: 編集部2023年06月26日 07時30分

 サイバー犯罪者は、さまざまな手口を使ってパスワードを盗み出そうとする。一方、推測されやすい単純なパスワードを使って、わざわざサイバー犯罪者を助けるようなことをしている人も多い。英国の決済サービス企業Dojoが実施したハッキングされやすいパスワードの調査結果は、避けるべき間違いを知り、インターネットを安全に利用する助けになるかもしれない。

二段階認証を利用している人物
提供:Oscar Wong/Getty Images

 Dojoは、過去に流出したパスワードの膨大なリストである「RockYou2021」を使って、600万個以上のパスワードを調査した。その結果、最も頻繁に使われていたパスワード、その平均的な長さ、パスワードによく使われる言葉が明らかになった。

 まず、ハッカーはどのような手口でパスワードを入手するのだろうか。

 最もよく使われている方法は「総当たり攻撃」だ。サイバー犯罪者たちは、自動化されたツールを使って1秒間に何百万個ものパスワードを試す。これと似た手口に「辞書攻撃」がある。これは、一般的な単語やフレーズを組み合わせて作ったパスワードでログインを試みる方法だ。ソーシャルメディアアカウントをあさって、パスワードに使われそうな個人情報を探るハッカーもいる。

 メールやテキストメッセージ、電話などを使ったフィッシング攻撃も、パスワードを盗み出す手口としては一般的だ。知らないうちにPCがマルウェアに感染し、パスワードを奪われてしまったケースもある。

 Dojoの分析によると、パスワードのハッキングに要する時間は、パスワードに使われている文字の数と種類によって決まるという。例えば、よくある小文字だけのパスワードは破られやすい。小文字だけの6文字のパスワードの解読にかかる時間はほぼ0秒だ。7文字だと0.12秒、8文字だと3秒になる。

 ここに大文字や数字、特殊文字などを組み合わせても、パスワードが短かったり、よくある組み合わせだったりすれば、あまり意味がない。今回の調査対象となった漏えいパスワードのうち、大文字で始まる8文字のパスワードは450万個以上、末尾に特殊文字が使われているパスワードは350万個以上あった。

 特定のテーマや話題に関する言葉を使ったパスワードも破られやすい。

 ニックネームや愛称を使ったパスワードは100万個以上見つかった。テレビ番組の登場人物の名前を使ったパスワードは45万個以上、テレビ番組のタイトルを使ったパスワードは36万5000個以上あった。パスワードに使われやすい言葉には、他にも色、ファッションブランド、都市、国、映画、体の部位、車のブランド、ペットの名前、下品な言葉、ビデオゲームのキャラクターの名前などがある。

 例えば、パスワードに最もよく使われていたニックネームと愛称は、「King(王)」「Rose(バラ)」「Love(愛)」「Boo(恋人の呼び名)」「Hero(ヒーロー)」「Angel(天使)」だ。色名では、「red(赤)」、「blue(青)」、「black(黒)」、「gold(金)」、「green(緑)」の登場頻度が高かった。ゲームのキャラクター名を使ったパスワードも多く、特に目立ったのは「Joel(The Last of Us)、「Q*Bert(Qバート)」、「Link(ゼルダの伝説)」、「Mario(スーパーマリオブラザーズ)、「Ryu(ストリートファイター)」だ。

 破られたパスワードの分析結果をもとに、Dojoはパスワードの安全性を保つためにすべきことを次のようにまとめている。

  • 推奨事項
  1. 小文字、大文字、数字、特殊文字を組み合わせることで、推測されにくくする。
  2. 少なくとも8〜12文字以上のパスワードを使う。パスワードは長ければ長いほど、推測に要する時間と労力も増える。
  3. 多要素認証を利用する。多要素認証を使っていれば、たとえパスワードが知られてしまっても、2つ目の認証を突破されなければアカウントにサインインされることはない。
  4. パスワードを変更する。特定のパスワードが漏れた、あるいは情報漏えいに巻き込まれた可能性がある場合は、できる限り速やかにパスワードを変更してアカウントを保護する。
  5. パスワードマネージャーを使う。何らかのツールを利用しない限り、すべてのアカウントにユニークで複雑なパスワードを設定し、そのすべてを覚えておくことはまず不可能だ。適切なパスワードマネージャーを使えば、面倒な作業はすべて任せ、自分はマスターパスワードを記憶するだけで済む。
  • 非推奨事項
  1. 個人情報を含めない。ハッカーはソーシャルメディアなどを通じて名前や誕生日、ペットの名前を見つけることが多い。
  2. 文字や数字の一般的で分かりやすいパターンは使わない。例えば、「1234」「qwerty」(キーボードのキー配列)などだ。ハッカーはまず最初にこうしたパターンを試す。
  3. 他人とパスワードの共有はしない。もし共有したとしても、その後すぐに変更すること。
  4. ブラウザーにパスワードを保存しない。自分のコンピューターやモバイルデバイスを別の人が使う場合はなおさらだ。
  5. 複数のアカウントで同じパスワードを使用しない。使い回しているパスワードが漏えいしてしまった場合、ハッカーは別のサイトでもそのパスワードをすぐに試す可能性があるからだ。

 

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画広告

企画広告一覧

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]