dragon、monkey…。世界共通の｢絶対NGなパスワード｣リスト

Image: shutterstock

Lifehacker 2024年11月22日掲載の記事より転載

複数のパスワードを管理するなんて、やりたくありませんよね。

みなさんの気持ちはわかります。同一のシンプルなパスワードをあらゆるアカウントで使い回すほうが、ずっとラクです。そうしておけば、サインインするときに、指がすっかり覚えてしまったいつものフレーズを入力するだけで、簡単にログインできるのですから。

でも、セキュリティの視点から見ると、｢同一のシンプルなパスワードをあらゆるアカウントで使い回すこと｣は最悪の選択です。

シンプルなパスワードは簡単に推測されてしまいます。つまり、悪意あるハッカーがあなたのアカウントに易々と入り込めてしまうのです。

しかも、あらゆるサービスに対して、簡単に推測できる同一のパスワードを使い回していた場合、大変まずいことになるのは確実です。

よく使われているパスワードは、ダメなものばかり

ネット上でもっともよく使われているパスワードのランキングを見てみましょう。

これは、パスワード管理サービス｢NordPass｣のNord Securityが、脅威管理ソフトウェアNordStellarと協力して毎年恒例で発表しているもので、今回が6回目です。

このランキングには、世界44カ国でよく使われている、上位200のパスワードが掲載されています。このランキングは2.5TBのデータに基づいていて、ダークウェブから収集した情報も含まれています。

NordPassによるとこのデータには、ハッカーが漏洩させたパスワードや、マルウェア経由で盗まれたものが含まれています。

また、これらのデータの大半は、メールアドレスにひもづけられていたので、企業アカウントと個人アカウントに分けた統計も取ることができました。とはいえ2024年に関しては、職場と家で使われるパスワードの間には、ほとんど違いがなかったそうです。

｢簡単なパスワードにしたい｣願望は世界共通だった

調査対象となった44カ国のすべてでもっともよく使われているパスワードを眺めてみると、ほとんどは予想の範囲内だと思います。

たとえば、一番よく使われているパスワード（300万件以上）は第1位｢123456｣です。第2位で、160万件以上使われているのは｢123456789｣。第4位は｢password｣です。英字キーボードの2段目を左から順番に打った｢qwerty｣に至っては、3バージョンがトップ20入りを果たしています。

このランキングをスクロールしていて個人的に気に入ったパスワードには、以下のようなものがありました。

｢dragon｣（20位）、｢monkey｣（21位）、｢aaaaaa｣（54位）、｢fuckyou｣（60位）、｢computer｣（63位）、｢trustno1｣（135位）、｢letmein｣（144位）そして｢cheese｣（200位）。

読者のみなさんの中で、今挙げたパスワードのどれかを使っている人がいますか？たしかに愉快なパスワードではありますが、今すぐ変えてくださいね。

ダメなパスワードは、数分（あるいはそれ以下）で突破される

このランキングに入っているのは、どう見てもダメなパスワードです。

｢password｣｢123456｣｢qwerty｣といったパスワードは、人間にもコンピューターにも、容易に推測できます。

とはいえ、これらのパスワードの大半がダメなのは、単によく使われているから、という理由だけではありません。多くは単純に｢弱い｣パスワードで、コンピューターがすぐに解読できるような構造をしているからです。

実際、大半は1秒未満で解読されます。このランキングに目をとおしていれば、これは明らかです。ある人が使っているパスワードが｢123456c｣だと突き止めるのには、人間ならそこそこ長い時間がかかるかもしれません。

でもコンピューターなら、ほぼ瞬時に解読してしまうのです。

多くは、時間を多少かければ推測できる

公平を期すために言っておくと、このランキングに入っているパスワードの中にも、一部には、解読に数分あるいは数時間以上かかるものもあります。また、数こそ少ないですが、解読にものすごく長い時間がかかるものもあります。

たとえば、75位の｢111222tianya｣は解読にまる1日かかるでしょう。さらに、｢g_czechout｣（157位）なら12日間かかるはずです。

とはいえ、これらのパスワードの圧倒的多数は、｢パスワードがないのとほぼ同じ｣と言えるくらい無防備です。

｢強固で固有のパスワード｣の条件とは？

良いパスワードを作成したいなら、自分にとって何らかの意味のある文字列は選ばないことが肝心です。実際、自分だけでなく、誰にとっても意味があるものにすべきではありません。

意味不明でランダムであればあるほど、コンピューターにとっては解読が難しくなり、人間であればおそらく、推測は不可能になるはずです。

だからと言って、新しいパスワードを作成するたびに、キーボードのキーを適当に叩く必要があるわけではありません。強固で固有のパスワードを作るのに効果的な方法としては、｢まったく関連性のない複数の単語をつなげる｣というものがあります。

パスワードマネージャーの導入も検討を

記憶しやすく、なおかつ強固でほかにはないパスワードの作成について、さらに詳しい情報を知りたい人は、米ライフハッカー編集部の作成したこちらのガイドを参照してください。

とはいえ、パスワードマネージャーを使う場合は、実際、強固で固有のパスワードを1つだけ覚えておけばこと足ります。というのも、残りのパスワードはパスワードマネージャーが厳重に管理して、ほかの人に見られないようにしてくれるからです。

この方法なら、個々のサービスで使うパスワードを記憶しやすいものにしたい、という誘惑を退けられます。パスワードマネージャーがすべて覚えておいてくれるので、ユーザーが覚えておく必要がないからです。しかも、ユーザーに代わってパスワードの作成まで引き受けてくれます！

信頼できるパスワードマネージャーを利用しよう

良いパスワードマネージャー探しに手助けが必要なら、米ライフハッカーの姉妹サイト｢PCMag｣の編集部が実際にテストして選んだ、ベストなパスワードマネージャーのリスト2024年版があるので、参考にしてください。

もちろん、自分が選んだプラットフォームに付いてくる無料のパスワードマネージャーなら、いつでもすぐに使えます。

Appleが新しく導入した｢パスワード｣アプリは、iPhone、iPad、Macを横断してパスワードを管理するには悪くない手段です。とはいえ、サードパーティーによる専用パスワードマネージャーに比べると、機能は限られています。

良いパスワードでも、完全な防備にはならない

パスワードは注目を集めやすいのですが、2要素認証をサポートしているアカウントに関しては、こちらも併せて使うべきです。

その際にも、単純なテキストメッセージよりは、認証アプリを経由するのが望ましいでしょう。

2要素認証を設定しておけば、ハッカーも、盗んだパスワードだけではアカウントに不正侵入できません。ユーザーの｢信頼されたデバイス｣に送られるコードにもアクセスする必要があるからです。

2要素認証やパスキーをしっかり活用しよう

なお、AppleやGoogleの思惑どおりになれば、パスワードをもとにしたシステムに、パスキーが完全に取って代わる可能性もあります。

パスキーとは、パスワードと2要素認証を組み合わせて、1つのセキュアなシステムをつくり上げる仕組みです。この場合、パスワードを新規作成する必要はありません。

その代わりに、第2のデバイスがパスワードとなり、ユーザーしかアクセスできない、セキュアなパスキーの保管場所となります。そして、ユーザーが本人であることを証明できれば、サービスにアクセスできます。

これはすばらしいコンセプトで、認証手続きを簡略化しつつ、同時にセキュリティを強化できる可能性があります。

とはいえ、これだけ多くの人がいまだに｢password｣という単語をあらゆるサービスのパスワードに使っている現状を考えると、実際にパスキーが描く未来にたどりつくにはかなりの時間がかかるでしょう。

Image: Getty ImagesText: Jake Peterson - Lifehacker US 翻訳：長谷睦（ガリレオ）

dragon、monkey…。世界共通の｢絶対NGなパスワード｣リスト