「123456」と「password」は、おそらく使用可能な最悪のパスワードです
SplashDataは、2017年の最悪のパスワードの年次リストをまとめました。500万を超える漏洩したパスワードを分析し、100の最も一般的なパスワードを公開しました 。リストをよく見て、そこにパスワードが表示されていないことを確認してください。
トップ25を詳しく調べてみると、昨年からそれほど変わっていないことがわかります。リストは次のとおりです。
- - 123456
- - password
- - 12345678
- - qwerty
- - 12345
- - 123456789
- - letmein
- - 1234567
- - football
- - iloveyou
- - admin
- - welcome
- - monkey
- - login
- - abc123
- - starwars
- - 123123
- - dragon
- - passw0rd
- - master
- - hello
- - freedom
- - whatever
- - qazwsx
- - trustno1
「123456」と「password」は、4年連続で最初の2桁に留まっています。トップ3は、「12345678」で完了します。これは、パスワード作成に関する厳密なルールが意図したとおりに機能しないことを示しています(詳細は1分で)。残りのパスワードは、昨年と同じくらい恐ろしいものです。
「trustno1」、「letmein」、「123123」、「hello」などのエントリは、「121212」、「zaq1zaq1」、「sunshine」、「flower」など、2016年のリストにあった他の同等の悪いものを置き換えました。同時に、「管理者」は12か月で4つの場所を登りました。これは、一部のデバイスでデフォルトのパスワードを変更することを気にかけられないことを示唆しています16番には「スターウォーズ」があり、これは伝説のサガの最新エピソードのリリースに明確に触発されたため、他に何もする前にGoogleに向かい、2018年の最も予想される映画タイトルを確認してください。それらをパスワードとして使用しないでください。
全体として、上記のリストは、パスワードとその目的に対して人々が衝撃的な無視をしていることを示しています。そしてその理由は明らかです:パスワードは迷惑です。
何年もの間、良いパスワードは複雑で定期的に変更する必要があると言われました。それは多大な労力であり、ご覧のとおり、このアドバイスはインターネットの人口をそれほど大きく引き離していない。英国のNational Cyber Security Centerの専門家でさえ、 パスワードの管理に苦労することがあることを認めており、特殊文字や数字などの要件が強力なパスワードにならないことは明白です。場合によっては、実際に裏目に出ます。これがおそらく、ここ数年気分に変化があった理由です。
2011年、 xkcdはウェブコミックを公開しました 。著者のRandall Munroeによると、単語を取り、いくつかの文字をいくつかの特別な記号(たとえば、「@」の代わりに「a」)に入れ替えるなどの従来の手法により、パスワードは、いくつかの単語をつなぎ合わせたもの。暗号学者であり、サイバーセキュリティの世界で最も広く認められているスペシャリストの1人であるブルース・シュナイアーは、 パスワード解読ツールが追いついたと述べていますが 、2017年に米国標準技術局(NIST)はパスワードガイドラインを改訂し、ユーザーは特殊文字の複雑な文字列の代わりにパスフレーズを使用することをお勧めします。これに加えて、NISTは、人々に定期的にパスワードを変更させることは、善よりも害をもたらすと助言しました。
それらが広く採用されている場合、これらのガイドラインは確かに負担の一部を取り除きます。それでも、追加の支援がなければ、人々はすべてのパスワードを管理し、それらを再利用せずに十分に強力にするのに苦労します。私たちは数十のオンラインアカウントを持っていますが、私たちの頭脳はその多くのパスワードを追跡することができません。
Schneier氏も含めたセキュリティのエッグヘッドは、パスワード管理アプリケーションを使用することが最善策だと言っているのはそのためです。そして、彼らにはそれをする確かな理由があります。
1つには、ほとんどのパスワードマネージャーに、強力で推測不可能なパスワードを作成するパスワードジェネレーターが付属しています。ユーザーは、使用している記号や数字の数を考えることなく、最終的に真に安全なパスワードを作成できます。また、アカウントごとに異なるパスワードを設定することもできます。つまり、使用しているサービスの1つが危険にさらされても、残りのアカウントはそのまま残ります。何よりも、すべてのパスワードは暗号化されたボールトに保存され、気軽にそれらを忘れることができます。
アカウントのセキュリティに関して言えば、パスワードマネージャーを使用することは「2羽の鳥と1石」のショットです。解読できない一意の強力なパスワードを作成できます。また、それらを覚えておく必要もありません。