第19回 年末恒例最弱パスワード公開


どのようなパスワードを使っているでしょうか。パスワードの問題点、さらにその根本的な解決法としてパスワードレス認証の導入と言われつつ、大げさでなく数十年が経ってもパスワードが使われています。その歴史あるパスワード、毎年、年末になって最弱のパスワードが発表されています。最弱とは、多くの人が共通に使っているパスワードのことです。パスワードマネージャと呼ばれる数多くのパスワードを安全に管理するシステムを開発しているNordPassが毎年そのリストを発表しています。

https://nordpass.com/most-common-passwords-list/

第1位は昨年2位だった、「123456」です。第2位は昨年3位だった、「123456789」でした。では、昨年1位で、今年は第8位にまで順位を落としたパスワードは何でしょうか。それは「12345」です。このように数字の連続が毎年上位であり、「qwerty」のようにキーボードの並びも上位に着けています。

パスワードは当事者以外秘密の、そして推測もされないような文字列、それに反して当事者が覚えやすいだけでなく、決して忘れないような文字列、この相反する事柄がパスワードの最大の脆弱性につながるのです。つまり忘れないことを第一に、そして第二に推測されないことを重要視すると、必然的に自分だけが知っている単純な方法や知識に頼ることになります。この「自分だけが」という思い込みと簡単単純な知識ゆえに、ほとんど同じような知識、つまりパスワードとなってしまうのです。

先に取り上げた123456、123456789、asdfghjk、12345678、あるいはpasswordが毎年の上位にランキングされます。asdfghjkも一見覚えにくそうですが、qwertyと同様、キーボードの配列で一直線に並んでいて覚えやすいのです。まさか、このようなパスワードを利用している人はいないでしょう。

昨年の2019年4月にイギリスの国家サイバーセキュリティ機関であるNCSC(National Cyber Security Centre)は危険な、すなわち世界中の多くの人が利用しているパスワードのリストとして、世界中の機関との協力の上、10万個のリストを公開しました。その上位にランキングされているリストは上述と同じですが、10万個のパスワードを眺めると世界の中での日本のイメージが垣間見られます。覚えやすい文字列は馴染みのある文字列でもあるのです。もちろん、日本人が利用しているパスワード、つまり文字列も含まれますが、圧倒的に日本人以外が多数を占めていると考えるのが妥当です。

例えば、日本の都市名ですが、tokyo(東京)、osaka(大阪)、nagoya(名古屋)、fukuoka(福岡)が第一に思いつくでしょうが、tokyo以外は見つけられません。対して、hiroshima(広島)、nagasaki(長崎)はリスト中に存在し、kobe(神戸)も見つけられます。kobeはNBAの選手由来かもしれませんが、その選手の名前も地名とは無関係ではありません。なお、yokohama(横浜)、kawasaki(川崎)も存在しますが、後者はバイク製造会社のイメージが強いかもしれません。

その会社名で言えば、fujitsu(富士通)、toshiba(東芝)、hitachi(日立)、panasonic(パナソニック)、canon(キヤノン)、そしてsony(ソニー)という電機メーカ、nissan(日産)、toyota(トヨタ)、honda(ホンダ)、suzuki(スズキ)、subaru(スバル)という自動車メーカ、さらにyamaha(ヤマハ)、komatsu(コマツ)、nintendo(任天堂)という名前が続きます。ゲームも海外では馴染みがあり、 pikachu、pokemon、finalfantasy、donkeykong、packman、supermarioもリストに見られます。アニメでは、dragonboll、naruto、deathnote、calimeroそれに鉄腕アトムの海外名astroboyもあります。

海外で知られている、sushi(寿司)、karaoke(カラオケ)、ninja(忍者)もあり、sudoku(数独)も出ています。そして、今では多くの日本人でさえ思い浮かばない、かつての日本の代名詞、geisha(芸者)、harakiri(ハラキリ)、kamikaze(神風)、samurai(侍)も健在です。来年あたりは、kimetsuやtanjiroが加わるかもしれません。

最悪のパスワードは、みんなが思い浮かぶ共通の合言葉であり、無意識に浮かぶ様々なイメージなのです。