セキュリティ関連情報
2020-12-30

こんなパスワードはダメだ!2020

投稿者: KuRo

パスワード ちゃんと管理してますか?
最近ではカンタンで単純なパスワードを付けないようにするのは、当たり前になってきましたね。

世の中では、こんなパスワードはみんな付けてるから気をつけようね。っていう記事があるんですよ。
逆に言うと、そんなパスワードを試してみたら、ワンチャン成功しちゃうかもよ、ってことでもあるんです。

ということで、こんなパスワードはダメだ!2020 サイトから拾った情報や、体験談を踏まえてご紹介します。

この記事で紹介していること

ウェブで公開されているダメなパスワードランキング

参考:https://www.secureworldexpo.com/industry-news/worst-passwords-of-2020-list

SECUREWORLD は、2020/11/20 「Worst Passwords of 2020 List(ダメなパスワード2020)」を以下のように発表しています。

数字だけ

1234567890 など、おもに連番のパスワードがランキング上位に挙がっています。
もちろん、堂々の第1位は

  • 12345

でした。

単純な英単語や、英単語に数字を加えただけ

今回第3位のダメなパスワードに picture1 がランクインしています。
何かトレンドがあったんでしょうかね?

その他殿堂入りしている以下のような単語が並んでいます。

  • password
  • password1
  • qwerty
  • iloveyou

流行りモノ、好みなど

さて、ここら辺から、該当する人がいるんじゃないですか?
KuRo
KuRo

流行りものや、誰しもが好む単語がランキングに入ってきています。

  • pokemon
  • superman
  • naruto
  • starwars
  • soccer
  • baseball
  • chocolate
  • cheese
  • fuXXyou(XXは伏字です。本来の文字はこれを意味する文字です。)

私が不正アクセスをされた経験談

10年近く前ですが、私が利用していたとあるサービスが海外から不正にアクセスされ、多額の請求が来たことがありました。

金銭的な実害にもなり得た苦い思い出です。
KuRo
KuRo

発覚の経緯

そのサービスとは、みなさんがよく知る「インターネットIP電話」「無料で通話」サービスの草分け的な、水色のトレードマークのあのサービスです。

通勤のためバスを待っていると、1件の高額利用通知で気づきました。
なんと、香港に対して10回ほど通話されてしまい、計10万円ほどの請求がありました。

原因分析

当時は私自身もセキュリティに対して意識が低く、たくさんのサービスで同じユーザ名とパスワードを同じものに統一していました。

なにせ、自分がどのサービスに加入しているかなんて、覚えていられない、という状況でした。
危険性は認識しつつも、パスワードをそれぞれ別の文字で設定するなんて、考えられませんでした。

しかし、当時私が利用している1つのサービスで、ユーザ情報の漏洩があったことが後程わかりました。
その情報に基づいて、私は不正アクセスの被害につながったのだと分析しています。

こんなパスワードはダメだ!2020 presented by TechnoKuRo

参考元サイトや、海外サイトで紹介されている実例を紹介しました。
ここからは、私自身の経験も踏まえ、こんなパスワードはダメだ!をご紹介します。

英字大文字、英字小文字、数字、記号など、文字種が3種類未満のパスワードはダメ!

まだまだ多くのサービスでは、記号をパスワードに設定できないところもあります。
そのようなサービスでは仕方ないので、3種類をOKとしますが、できれば上記4種類すべてが含まれるパスワードを最低ラインと考えたいです。

文字種ごとにカタマリになっているパスワードは避けよう

文字種の連続のカタマリを分散したほうが、より類推されにくいです。
パスワード辞書には、文字種がカタマリになっているパスワードが大半を占めています。

ダメな例
[大文字][小文字][小文字][小文字][数字][数字][数字][数字]
良い例
[小文字][大文字][小文字][記号][小文字][数字][数字][大文字]

ほかのサービスと同じユーザ名やパスワードに設定するはダメ!

いくらパスワードが複雑でも、他のサービスやサイトと同じである場合、どちらかで漏洩があると、他方も攻撃対象になります。

KuRo
KuRo
パスワードを共通で設定すると、あなたのセキュリティレベルは、そのパスワードが設定されているサービスの内、最も低いセキュリティレベルのサービスに一致します。

共通したパスワードを設定したサービスのうち、特にセキュリティレベルが低いサービスがあったら、そんなサイトは、攻撃者にとっては格好の攻撃対象です。
そこからGoogleや楽天など、さまざまな権利関係に及ぼすサービスが乗っ取られるなんてことも考えられます。

意味のある英単語、英文は避けよう

世の中には、パスワードを調査したり、解析ツールがたくさんあります。

パスワード解析ツールの例
  • John the Ripper
  • cracklib
  • hashcat

これらは、よくパスワードとして使われる文字としてまとめられた「パスワード辞書」を引用したり、組み合わせ、あるいは無作為に並べ替えるなどをしてパスワードを解析します。
パスワード辞書には、単体で意味を持つ英単語がずらり並んでいます。

そのような単語を避けることで、辞書攻撃をかわすことができます。

まとめ

2020という題名にはしたものの、パスワードが類推されにくくする対策はいつの時代もあまり変わりません。

今回は、類推されやすいパスワードを、以下をテーマに体系立ててご紹介しました。

ダメなパスワード体系
  • 単純なもの
  • 複数のサービスで同じものを使う
  • 辞書攻撃に弱いもの

このようなパスワードを避けて設定することで、ツールを使って一瞬で解析されるということは避けられます。

もちろん、2段階認証や、生体認証など、強固な認証方式を採用することも大切です。

現在では、パスワードにとって代わる対策は考えられつつあるものの、決定打となるものがまだ出てきていません。
今後もパスワードとは付き合っていかなければなりませんね。

自分の証明であるパスワードですから、しっかり管理していきたいですね。

投稿者について

元警察官の安全確保支援士資格保有、フリーランスエンジニアです。 WEB系バックエンドを主軸にアプリ開発、インフラ構築なども手掛けています。 いずれはすべてのスキルを底上げしてフルスタックエンジニアと胸を張って言えるようになりたいです。 ■facebook では、警察官時代の先輩、イケメンコメンテーター「佐々木成三」さんとタッグを組んで、テレビやラジオ、イベントなどに参加させていただいている様子などをご紹介しています。 ■毎月1回、調布FMのラジオ番組「Middle Age Cafe」にパーソナリティとして参加しています。アプリで聞いてね。 ■自前のブログ「TechnoKuRoプログ」で、プログラミング技術、サーバ技術や、仮想通貨のマイニングなど、PC関連の話題を取り上げて不定期更新しています。 ■LINEオープンチャット「フリーランスエンジニア」を運営しています。ここでは100名を超えるフリーランスやフリーランスを目指す人たちが、皆さんの質問への解答はもちろん、くだらない雑談まで、ゆる~く会話しています。ぜひ参加してみてくださいね。

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です