知って得するセキュリティのはなし その14
使ってはいけないパスワードトップ10万が発表
1.このニュースをザックリ言うと
- 4月21日(現地時間)、英国国家サイバーセキュリティセンター(NCSC)より、過去に漏洩したパスワードのデータをもとにした「使ってはいけないパスワード」トップ10万通りが発表されています。
- データは、入力したパスワードやメールアドレスが過去に漏洩していないか調査可能なサイト「Have I Been Pwned」の提供によるものです。
- 発表されたうち上位10通りは「123456」「123456789」「qwerty」「password」「111111」「12345678」「abc123」「1234567」「password1」「12345」となっており、以後も「同じキーの繰り返し入力」「左から右に何個といった規則性のあるキーボード入力を行うことで現れるもの」「単語」が使われる傾向があるようです。
- NCSCではこのデータをテキストファイルとして公開しており、このファイルに使っているパスワードが含まれている場合は直ちに変更するよう推奨しています。
2.執筆者からの所感等
- これらのパスワードは、今回の発表以前に様々なアカウント奪取を目論む攻撃者が使用する脆弱なパスワードの辞書には既に載っている可能性が高く、Web・メールサービスはもちろん、あらゆる場面において使うべきではありません。
-今日、パスワード以外にも二段階認証等の様々なアカウント保護機構が採用されており、可能な限りそれを利用することも大切ですが、パスワードを狙う攻撃に対しては、(例えばツールによる管理を用いてでも)他人から推測されにくいある程度複雑なパスワードを設定すること、登録するサービスごとに別のパスワードを用いること、そして万が一流出が確認され次第速やかにパスワードの変更を行うことが肝要です。