ITの時代、フツウにウェブを使っている皆さんは、
色々なウェブサービスを利用するために、あっちこっちアカウントを作って、
そしてそれらのアカウントに、パスワードを入れているわけですが、
そのパスワードは、本当に大丈夫でしょうか?
ちょっと前に、マイクロソフトのHotmailのアカウント情報が流出した…
というニュースがありました。
→Hotmailの数千のアカウント情報が流出、フィッシング詐欺が原因か
その後、その流出されたデータを分析したレポートが出てきて、
驚くことに、全くセキュアではないパスワードを利用している人は、
かなり多かった…という結論に至っていました。
→Statistics from 10,000 leaked Hotmail passwords
まあ、一応前提として、フィッシングに引っかかるくらい…なので、
比較的にITに疎い人…という推測も出来るのですが、
それでも、約1万件の中に最も多かったパスワードが「123456」…、
というのは、やっぱりちょっとビックリしてしまいますね。
→Statistics from 10,000 leaked Hotmail passwords
(*データだけ抜粋して翻訳しました)
データの全体像:
- 全部で10,028件のパスワードデータがありました。
- そのリストの中に、有効(有用)なデータは9,843件
- さらにその中に、8,931件のパスワードはユニーク(他と重複していない)である。
- 一番長いパスワードは30文字、「lafaroleratropezoooooooooooooo」
- もっとも短いパスワードは「1」文字
パスワードの上位20個:
- 123456:64件
- 123456789:18件
- alejandra:11件
- 111111:10件
- alberto:9件
- tequiero:9件
- alejandro:9件
- 12345678:9件
- 1234567:8件
- estrella:7件
- iloveyou :7件
- daniel :7件
- 000000 :7件
- roberto :7件
- 654321 :6件
- bonita :6件
- sebastian :6件
- beatriz :6件
- mariposa :5件
- america :5件
パスワードの長さ別の件数:
- 6文字:1946件=22%
- 8文字:1838件=21%
- 7文字:1254件=14%
- 9文字:1091件=12%
- 10文字:772件=9%
- 11文字:527件=6%
- 12文字:431件=5%
- 13文字:290件=3%
- 14文字:219件=2%
- 15文字:157件=2%
- 16文字:190件=2%
- 17文字:56件=1%
- 5文字:49件=1%
- 4文字:31件=0%
- 18文字:17件=0%
- 20文字:14件=0%
- 21文字:10件=0%
- 22文字:8件=0%
- 19文字:7件=0%
- 2文字、3文字:4件=0%
- 23文字、24文字、25文字、27文字:3件=0%
- 1文字:2件=0%
- 29文字、30文字:1件=0%
パスワードに使われる文字の分析:
- 英文字で小文字のみ:3,713件=42%。例:iloveyou
- 英文字と数字の組み合わせ:2,655件=30%。例:Iloveyou12
- 数字のみ:1,707件=19%。例:123456
- 英数字と数字と記号の組み合わせ:565件=6%。例:1Love You$%@
- 英文字のみ:291件=3%。例:ILoveYou
「ギクッ!」と思った方、今スグその危ういパスワードを変更しましょう!!
123456とか1234567とか12345678とか123456789とか、
654321とか000000とか111111とか…、マジですごすぎだよね…。
人名も多すぎますし、アルバートとかセバスチャンとかロバルトとか…。
安全なパスワードの作り方について調べたい方は、
グーグル先生に「パスワード 安全」などのキーワードで調べてみてください。
ちなみに、ぉぅぇぃが勤めているITの学校KCGとKCGIも、
パスワード認証関連のセキュリティを勉強している学生も居ます。
特に去年の大学院のほうの卒業プロジェクトはかなり良かったですね。
パスワード設定の問題点などを指摘した上で、有効な対策まで提案しました。
個人的に、ここ数年で一番良かったプロジェクトだと思いますので、
興味のある方、良かったら見てみてください。この仕組みの特許も取得したそうです。
ピクセルトークンを用いた認証システム
近年,情報化が進み,生活の中で認証システムを利用しない人はいないと言っても過言ではありません。
ユーザにとって使いやすく,サービス提供者が導入しやすい,一定の強度を持つ認証の仕組みを提案し,その性能を評価します。→KCG AWARDS:ピクセルトークンを用いた認証システム on USTREAM
(*それなりに長い)
まあ、ぉぅぇぃもそれほど凝っているわけではありませんが、
さすがに「123456」はヤバイですね…。
パスワードがハッキングされるのは決して他人事ではないので、
皆さんも良かったら、ご自分のパスワードを再検討してください~