1位 password
2位 123456
3位 123456789
4位 12345678
5位 1qaz2wsx
というわけで、冒頭のクイズ「2021年、日本で一番多く使われていたパスワードは?」の答えは「password」。トップ5は世界とほぼ同じラインアップだが、日本ならではのパスワードとしては15位に「sakura」、21位に「takahiro」、25位に「fujitvpass」、28位に「doraemon」などがランクインしている。
ここに出てくるような分かりやすいパスワードを使い回している人は、即刻パスワードを変更すべきだが、「そんなに単純なものは使っていないよ」という人も、パスワードが漏れる怖さは知っておいたほうがいいだろう。
パスワードはどこから漏れるのか
そもそも、パスワードはどこから漏れるのか。私たちがアプリやWebブラウザから利用しているさまざまなネットサービスの奥では、大抵Webの認証サービスが動いている。認証サービスは、ユーザーが入力したID・パスワードを確認(認証)して、そのアカウントに合った機能を提供する。
このサービスの脆弱(ぜいじゃく)性を突く攻撃者によって、パスワードを含む情報が流出することがある。たまに「Webサービスの脆弱性を突かれ情報流出した」というニュースがあるのはそういうことだ。
ただこうしたケースで、「パスワードそのもの」がWebサービスから流出することは、最近はあまり多くない。現在ではWebサービス側がパスワードをサーバーに保存しなくなっているからだ。パスワードの「特徴」だけをとらえて保存し、ユーザーがパスワードを入力してきたときにはその特徴がマッチするかを確認する、という方法が一般的になったので、最近は情報流出した場合も、パスワードのある一部の特徴データしか得ることはできなくなった。
しかし、単純なパスワードの場合は、パスワードの「特徴」から、平文のパスワードデータを類推することも不可能ではない。だからユーザーとしては、パスワードをある程度複雑なものにしておくに越したことはない。また、昔、セキュリティ意識のそれほど高くなかった頃のWebサービスやシステムには、平文でパスワードを格納するケースもあった。こうしたサーバーを攻撃して、ユーザーのID・パスワードが流出したというケースもある。
