5年前から最も一般的なパスワードを調査してきた同社のモーガン・スレインCEOによると、今回はアダルトサイトで利用されていたパスワードを除く約200万のパスワードについて精査。その結果、すべてのパスワードのうち約3%が、頻繁に使用されているパスワードの25位までに入っていたことが分かった。
過去にはこの割合が5%だったことから、時間を追うごとに状況は改善されているとみられる。しかし、同CEOはこれについて、ペースを一層速めていく必要があると警告している。
上位25のパスワードの中には、新たにリストに加わったものもあった一方、2014年にトップだった「123456」と「password」が相変わらず同じ順位を維持した。「12345」、「111111」など数字だけを並べたその他のパスワードも、依然として上位に入っている。
また、リストにはキーボードのアルファベットの最上段のキーを左から順に打ち込んだ「qwerty」や、今年初めて上位に入った「welcome」や「login」をはじめ、「letmein」(let me in、ログインさせて)など、あまりにもあからさまなパスワードが数多く含まれている。スレインCEOがこれは何かと頭をひねったという「1qaz2wsx」は、キーボードの左から2番目を上から4つずつ打ち込んだものだった。
2015年の傾向としては、パスワードが前年より長くなったことが挙げられる。しかし、長くすれば強度が上がるというわけではない。同CEOは、「単にキーボードに並んでいるキーを順番に打ちこんだり、数字の順番に入力したりするだけなら、文字を10個並べても良いパスワードとはいえない。辞書に出ている言葉を使うのも同じだ」と説明する。
パスワード・チェッカーは信頼できない
一方、コンコルディア大学が2015年に実施した調査では、パスワードの強度を確認するために多くの人が利用しているサイトと、パスワード管理者が考える強度の高いパスワードは大きく矛盾しており、ユーザーを惑わす可能性があることが示された。
強度チェッカーは文字列の長さや使用する文字の種類の数、よく使われる言葉や見破られやすいパターンを偏重しており、強度が低いその他のパターンの特定や、文字列の中のアルファベットを形の似た別の数字や記号などに変える「リート」(アルファベットの「o」の代わりに数字の「ゼロ」を使うなど)を考慮していない。
報告書は、「我々の大規模な実証的分析では、一般的に使われているチェッカーには非常に多くの矛盾点があり、一貫したフィードバックを提供していないことが明らかになった」。「明らかに誤解を与えるような情報を、対策方法として提示しているものもある」と述べている。
この問題に関する最善の策は、これまでと変わらない。複雑なパスワードを作ること、アカウントごとにパスワードを変えることだ。パスワードを使い回せば、いずれか1つのアカウントがハッカー攻撃を受け、パスワードが書き換えられれば保有するすべてのアカウントが攻撃されやすくなる。多数のパスワードをより簡単に管理するためには、パスワード管理アプリのキーパス(KeePass)や1パスワード(1Password)、チームズID (TeamsID)などを使うことだ。
こうした最善の実践例を無視するつもりなら、今よりもう少しだけ安全にするための方法が一つある。少なくとも電子メールのアカウントだけは、二要素認証を使うことだ。そうしておけば、誰かが無断でパスワードをリセットすることは防げる。
