統計的に言えば、あなたのパスワードはおそらくひどいものでしょう。少なくとも、あるサイバーセキュリティ研究チームが漏洩した190億件以上のパスワードを分析し、唯一無二のパスワードはわずか6%しかないことを発見したという報告は、まさにその通りです。
サイバーニュースは、2024年4月以降に発生した200件の侵害および漏洩に関する公開データを精査し、公開されたパスワードの傾向と共通点を探りました。その結果、辞書攻撃に耐えられるほど強力なパスワードは10億件強でした。残りの大部分は脆弱なものでした。
(数字で表すと、約 180 億個のパスワードが有効ではありませんでした。)
では、最も悪質なパスワードは誰でしょうか?パスワードの殿堂入りを果たした常連は、password、admin、123456 です。Cybernewsによると、 passwordとadmin はそれぞれ5,300万回、123456 は3億3,800万回使用されました。さらに、 1234というシーケンスを含むパスワードは7億2,700万件以上あり、これは同社のデータセットの約4%に相当します。
弱いパスワードの傾向については、サイバーニュースは次のような共通のテーマがあることを発見しました。
- 人名(2番目に多い、パスワードの1つに使用される可能性は8%)
- ポジティブな意味を持つ言葉
- ポップカルチャーの参照
- 罵り言葉
- 国
- 都市
- 米国の州
- 食べ物
- 人気ブランド
- 自然
- 動物
- 季節
- 月
これらのトピックのトップワードは次のとおりです。
- 愛(8700万)
- 太陽(3400万)
- 喜び(690万)
- マリオ(960万)
- トール(620万)
- バットマン(390万)
- ファック(1600万)
- クソ(650万)
- ビッチ(320万)
- ローマ(1300万人)
- ライオン(980万)
- 夏(380万)
- 月曜日(80万)
- 5月(2800万)
- 4月(520万)
- お茶(3,600万)
- リンゴ(1,070万)
- グーグル(2590万)
- フェイスブック(1,870万人)
- 起亜(1270万)
- ボス(1000万)
- ハンター(660万人)
- サッカー(400万)
- サッカー(340万)
- カロライナ(190万人)
- ダコタ(120万)
- テキサス州(110万)
- 神(2400万)
- 地獄(2000万)
何が弱いパスワードなのか疑問に思うかもしれませんが、答えは至ってシンプルです。人間でもコンピューターでも簡単に推測できるもの、それがパスワードクラックソフトウェアです。そして近年、パスワードクラックソフトウェアは辞書や一般的な習慣(文字を数字や句読点に置き換えるなど)に関する情報を入力できるようになり、その効率は格段に向上しています。
シャッターストック
ユニークなパスワード群の中には、いくつかの共通点も見られました。長さについては、8文字から10文字が最も多く、11文字が僅差で4位でした。現在、8文字が最低限必要なパスワードとなっています。セキュリティ向上のため、12文字以上が基準とされています。
パスワードの長さに加え、パスワードの構成も、多くのユニークなパスワードを解読されやすくしていました。これらのユニークなパスワードの約3分の1(27%)は、小文字と数字のみを使用していました。さらに20%は、大文字と小文字が混在するアルファベットと数字を組み合わせていましたが、特殊文字は含まれていませんでした。
これらの形式は小文字だけを使うよりはましですが、コンピューターによるブルートフォース攻撃(文字の組み合わせを何度も試してパスワードを推測する攻撃)に遭う可能性があります。パスワードが短く、文字の種類が少ないほど、このようなクラッキング方法に引っかかりやすくなります。
では、これらの調査結果から何がわかるでしょうか?まず第一に、パスキーはこのような状況下でさらに魅力的に見えます。この新しい代替ログイン方法は、暗記する必要がなく、クラッキングやフィッシングにも耐性があり、入力やコピー&ペーストも不要です。まだパスキーを使い始めていない方は、ぜひお試しください。パスワードに比べて大幅に進化した機能です。
パスキーが使えない?その場合は、次の4つのことを実行してください。
1. パスワードには、簡単に認識される単語やフレーズを使用しないでください。
2. 12文字以上で、大文字、小文字、数字、特殊文字を含む、一意のパスワードを使用してください。理想的には、ハードウェアの高速化が進んでいるため、長いほど良いでしょう。下のグラフは、2023年(すでに2年前)にAIがパスワードを解読できる速度を示しています。
ホームセキュリティヒーロー
3. パスワードマネージャーを使いましょう。数十、いや数百ものパスワードを記憶するのは現実的ではありません。パスワードマネージャーを使えば、その手間が省け、ログインをより複雑(つまり、より強固)にすることができます。銀行はパスワードの最大文字数を50文字と定めています。確かに、なぜダメなのでしょうか?
4. 可能な限り、ソフトウェアベースの2要素認証(2FA)を有効にしてください。理想的には、Bitwarden AuthenticatorやGoogle Authenticatorなどの別のアプリを使用してワンタイムコードを生成します。テキストメッセージベースの2FAも選択肢の一つですが、安全性は低くなります。テキストメッセージベースの2FAを使用する場合は、携帯電話のアカウントにPINを設定して番号移行を行い、強力なパスワードと2FAでアカウントを保護することで、アカウント乗っ取りやSIMジャッキング攻撃のリスクを軽減してください。
パスワードのセキュリティ強化は面倒に思えるかもしれませんが、必ずしもそうではありません。まずは最も重要なアカウントから始め、徐々に外側へと進めていきましょう。やがて、「password123456」のようなパスワードを使う時代は遠い過去のものとなるでしょう。
著者: Alaina Yee、PCWorld 上級編集者
テクノロジーとビデオゲームのジャーナリズムで14年のキャリアを持つアライナ・イーは、PCWorldで様々なトピックをカバーしています。2016年にチームに加わって以来、CPU、Windows、PCの組み立て、Chrome、Raspberry Piなど、様々なトピックについて執筆する傍ら、PCWorldのバーゲンハンター(#slickdeals)としても活躍しています。現在はセキュリティに焦点を当て、人々がオンラインで自分自身を守る最善の方法を理解できるよう支援しています。彼女の記事は、PC Gamer、IGN、Maximum PC、Official Xbox Magazineに掲載されています。
