最も多く使われるパスワードは「123456」、米国情報漏えいで算出

　情報セキュリティを手がける米Impervaは21日、SNS向けソーシャルゲームを開発する米Rockyou.comの不正アクセス事件で漏えいした3200万件分の個人情報をもとに、利用者が設定していたパスワードに関する調査を公表した。

　最も多く使われていたパスワードは「123456」で29万731件。次いで、「12345」が7万9078件、「123456789」が7万6790件だった。8位の「1234567」（2万1726件）、9位の「12345678」（2万553件）を含むと、トップ10のうち5件は数字を1から順につづったものだった。

　また、4位は「password」（6万1958件）、5位は「iloveyou」（5万1622件）、6位は「princess」（3万5231件）だったほか、7位はサービス名をそのまま入力した「rockyou」（2万2588件）だった。10位は「abc123」（1万7542件）。

　パスワードのけた数としては、7けたが19.29％、6けたが26.04％、5けたが4.07％と、全体の5割が7けた以下だった。8けたは19.98％、9けたは12.11％、10けたは9.06％だった。なお、rockyou.comのパスワードポリシーは最低5文字以上とされていた。

　このほか、大文字、小文字、数字、特殊文字（!、@、#、$など）の使用率では、小文字のみでパスワードを設定していた人が41.69％で最も多く、以下は文字と数字の混合が36.94％、特殊文字を含むパスワードが3.81％、大文字のみが1.62％だった。

　なお、米NASAは強固なパスワードの条件として、8文字以上であることと、特殊文字、数字、大文字、小文字を混合していることを挙げている。Impervaによれば、この2つの条件を満たしていたパスワードは、3200万件のうちわずか0.2％だったとしている。

　Rockyou.comの不正アクセス事件は2009年12月に発生したもの。不正アクセスを行った人物は、入手したパスワード3200万件をインターネット上に掲載していた。Impervaによれば、Rockyou.comではパスワードを暗号化せず、平文で保管していたという。

【お詫びと訂正 2010/1/26 13:55】
　記事初出時、最も多く使われていたパスワードの9位を「1234567」と記載していましたが、正しくは「12345678」です。お詫びして訂正いたします。