設定されたパスワードのほとんどが一連番号!

一番多いパスワードは1から始まる一連番号

一番多いパスワードは1から始まる一連番号


アメリカの情報セキュリティ会社がパスワードについての調査結果を公表。調査によると1番多く設定されているパスワードは「123456」という一連番号。第2位も一連番号で、トップ10のうち5件は数字を1から並べた一連番号でした。英大文字、英小文字、数字、特殊文字(!、#、$など)でパスワードをつくれる場合でも、すべてを混合しているパスワードはわずか0.2%。

英小文字のみのパスワード設定が4割を超え、他に多かったのが「password」や「iloveyou」でした。映画が流行った時は「starwars」もランクインしました。パスワードを破るのに辞書攻撃という辞書の単語を片端からコンピュータで入力していく攻撃方法がありますが、調査結果をみると有効なのがよくわかります。

日本も同じ状況で、いまだに4桁数字だけのパスワードをつかっている銀行がありますが、利用者の多くは家族の誕生日や電話番号を設定しています。このパスワードでは、キャッシュカードとともに免許証などを落としてしまうと簡単に引き出されてしまいます。個人情報から類推できないでたらめな数字をパスワードにすべきですが、パスワードを入力するサイトが多すぎて覚えられません。
 

定期的なパスワード変更はかえって危ない

組織によっては3ケ月に1回ほど、強制的にパスワード変更を求められます。しかも前に使ったパスワードは使えず新規に考えなければなりません。定期的にパスワードを変更することでセキュリティの強度をあげたいのは分かりますが、問題は利用者が一つではなく、いろいろなサイトでパスワードを求められていることです。いちいち覚えられないので、パスワードの使いまわしが行われます。
 
結果、どこか一つのサイトがサイバー攻撃を受けてIDやパスワードが流出すると闇サイトで売買されてしまいます。ソニー、トヨタ、東芝などの社員情報が、大量流出していることが明らかになりましたが、漏れたのはソニーやトヨタの会社サイトからではなく人材紹介サイトや業務依頼を行った取引先のサイトからです。流出規模は合計約16億件で海外の闇サイトで販売されていましたが、現在は公開サイトで提供されています。パスワードを使いまわしていると漏れたIDやパスワードを使って、いろいろなサイトに簡単に入ることができます。
 
強制的なパスワード変更では、どうせ3ケ月後に変更されるなら、新しいパスワードをいい加減に作る傾向にあり、どこかの1文字だけを順番に変えていくなどのパターンになります。ほとんどの利用者は自分がいつも使っているパスワードの末尾に0や1の数字をつける枝番付をしています。0~9の数字とアルファベットで36回の変更に対応できますが、これって意味があるのでしょうか。
 
流出したパスワードに枝番をつけて攻撃すれば、すぐ破れます。そこで総務省では「国民のための情報セキュリティサイト」の内容を変更し、パスワードを定期的に変更させるとパスワードの作り方がパターン化し簡単になって、かえって危険と警告しています。またアメリカでも「電子認証に関するガイドライン」を変更しており、世界の潮流は頻繁にパスワード変更を求めるべきではないになっています。
 

デフォルトパスワードをほったらかしにしていませんか

個人のパスワードだけでなく複合機やウェブカメラのパスワードにも要注意です。複合機を単なるコピー機やプリンターと認識している人が多いのですが実態はサーバーです。複合機の納入事業者から「パスワードがデフォルトになっていますので、後で設定しておいてください」と聞いているはずですが、聞き流しているのか忘れているのかデフォルトになったままの複合機が多くあります。

メーカー別のデフォルトIDとパスワードがネットに出回っていますので簡単に侵入することができますし、デフォルトパスワードのままの機器を探せる特別な検索エンジンがあります。複合機のほかに駐車場の防犯カメラや工場内カメラでも、デフォルトのままでほったかしにされている機器があり世界中から見ることができます。
 

パスワード管理ソフトで対策しましょう

パスワード管理ソフトを活用しましょう。面倒なパスワードはソフトが管理してくれますのでサイトごとに複雑なパスワードを設定して全て変えます。サイトにアクセスする時はパスワード管理ソフトに登録されているパスワードが自動入力されます。パスワード管理ソフトを起動する時に要求されるパスワードだけ、めちゃくちゃ複雑にし、これだけを覚えればパスワードの使いまわしを防げます。

例えばウィンドウズですと「ロボフォーム」があります。無料版と機能が充実した有料版があります。対応しているブラウザーが多いため、ほとんどのブラウザーで自動ログインが可能です。簡単なパスワードを設定しているあなた。明日、トラブルに巻き込まれるかもしれません。まずは複雑なパスワードに変更することからはじめましょう。

【関連記事】

※記事内容は執筆時点のものです。最新の内容をご確認ください。