最も多く使われるパスワードは「123456」、米国情報漏えいで算出


 情報セキュリティを手がける米Impervaは21日、SNS向けソーシャルゲームを開発する米Rockyou.comの不正アクセス事件で漏えいした3200万件分の個人情報をもとに、利用者が設定していたパスワードに関する調査を公表した。

 最も多く使われていたパスワードは「123456」で29万731件。次いで、「12345」が7万9078件、「123456789」が7万6790件だった。8位の「1234567」(2万1726件)、9位の「12345678」(2万553件)を含むと、トップ10のうち5件は数字を1から順につづったものだった。

 また、4位は「password」(6万1958件)、5位は「iloveyou」(5万1622件)、6位は「princess」(3万5231件)だったほか、7位はサービス名をそのまま入力した「rockyou」(2万2588件)だった。10位は「abc123」(1万7542件)。

 パスワードのけた数としては、7けたが19.29%、6けたが26.04%、5けたが4.07%と、全体の5割が7けた以下だった。8けたは19.98%、9けたは12.11%、10けたは9.06%だった。なお、rockyou.comのパスワードポリシーは最低5文字以上とされていた。

 このほか、大文字、小文字、数字、特殊文字(!、@、#、$など)の使用率では、小文字のみでパスワードを設定していた人が41.69%で最も多く、以下は文字と数字の混合が36.94%、特殊文字を含むパスワードが3.81%、大文字のみが1.62%だった。

 なお、米NASAは強固なパスワードの条件として、8文字以上であることと、特殊文字、数字、大文字、小文字を混合していることを挙げている。Impervaによれば、この2つの条件を満たしていたパスワードは、3200万件のうちわずか0.2%だったとしている。

 Rockyou.comの不正アクセス事件は2009年12月に発生したもの。不正アクセスを行った人物は、入手したパスワード3200万件をインターネット上に掲載していた。Impervaによれば、Rockyou.comではパスワードを暗号化せず、平文で保管していたという。

【お詫びと訂正 2010/1/26 13:55】
 記事初出時、最も多く使われていたパスワードの9位を「1234567」と記載していましたが、正しくは「12345678」です。お詫びして訂正いたします。


関連情報

(増田 覚)

2010/1/25 18:00