--.--.-- --:--|カテゴリ:スポンサー広告

スポンサーサイト


上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
 

2012.07.18 07:00|カテゴリ:Security

Yahoo!でよく使われるパスワードは「ninja」? 漏洩したパスワードに学べ!


A password key?
A password key? by Dev.Arka

 7月12日に明らかになった米Yahoo!のユーザー名とパスワード45万件以上が、流出した事件ですが、情報セキュリティ教育機関であるSANSが運営するセキュリティダイヤリー「ISC Diary」で、そのパスワードを分析した結果が公表されました。
 
 その中には、明らかにパスワードとして好ましくないものもあります。ここでその一部を紹介しますので、これからパスワードをつける方は参考にしてください。
 
ISC Diary | An analysis of the Yahoo! passwords


 まず、もっともよく使われていたパスワードトップ10を見てみましょう。


Top 10 passwords
123456 = 1667 (0.38%)
password = 780 (0.18%)
welcome = 437 (0.1%)
ninja = 333 (0.08%)
abc123 = 250 (0.06%)
123456789 = 222 (0.05%)
12345678 = 208 (0.05%)
sunshine = 205 (0.05%)
princess = 202 (0.05%)
qwerty = 172 (0.04%)



 圧倒的に「123456」が多いですね。これは、覚えやすくかつキーボードの配列からも入力しやすいという点から、昔からよく使われています。
 
 次に多いのが「password」。そのものズバリですね。
  
 他にも、「abc123」、「123456789」、「12345678」など、単純な文字を組み合わせたパスワードが目立ちます。これらのパスワードがよく使われるということは、攻撃者も熟知しています。これらは、パスワードにしてはいけないということを肝に銘じておきましょう。
 
 一方、おもしろいのが4位の「ninja」。これは日本ではほとんど考えられないパスワードですね。Yahoo!によると、流出したのは「古いファイル」ということでしたので、ひょっとすると、アメリカで「忍者」がブームになった頃につけられたパスワードなのかもしれませんね。
 
 8位「sunshine」、9位「princess」にいたっては、なぜそういうパスワードが多いのか今ひとつわかりませんでした。
 
 ただし。このような単語をパスワードにすると、辞書ファイルを用いて片っ端から単語を試していく「辞書攻撃」と呼ばれる攻撃により簡単に破られてしまいますので、これもやめましょう。ついでに言うと、「辞書攻撃」では前後に任意の文字列を追加することもできるので、「1password」や「ninja0101」みたいなのも好ましくありません。単語自体、パスワードに含めないほうがよいでしょう。

 そして10位が「qwerty」。これは勘のいい方はすぐにおわかりでしょう。キーボードのアルファベットの最上段を左から6つ並べたものです。1位の「123456」同様、覚えやすく入力しやすいパスワードの代表格です。これもやめましょう。

 次に、パスワードの長さを確認してみます。
 

8 = 119135 (26.9%)
6 = 79629 (17.98%)
9 = 65964 (14.9%)
7 = 65611 (14.82%)
10 = 54760 (12.37%)
12 = 21730 (4.91%)
11 = 21220 (4.79%)
5 = 5325 (1.2%)
4 = 2749 (0.62%)
13 = 2658 (0.6%)



 もっとも多いのは8文字。これは意外でした。結構長いですね。よく安全なパスワードをつける際に「8文字以上にしなさい」といった記述を見かけますがこれが浸透しているのでしょうか。もっとも、昨今では「8文字」では十分安全だとは言えませんが。
 
 さらに意外なことに、5位から7位、そして10位は2桁でした。
 
 パスワードは長ければ長いほど破られにくくなるので、このような傾向は望ましいことだと思われます。
 
 しかし、その一方でこんなデータも。
 

Only lowercase alpha = 146516 (33.09%)
Only uppercase alpha = 1778 (0.4%)
Only alpha = 148294 (33.49%)
Only numeric = 26081 (5.89%)



 これによると、英小文字のみが146516個、アルファベットのみが148294個、数字のみが26081個とパスワードに同じ文字種のみを使う人が多いことがわかります。
 
 使用してる文字種が少ないと、文字を組み合わせて総当りで攻撃する「ブルートフォース攻撃」に対し弱いので、好ましくありません。
 
 同記事を見ると、他にも西暦や月、曜日、男の子や女の子の名前、スポーツチーム名などさまざまなタイプのパスワードがどれくらいあるかを分析しています。
 
 いずれにせよ、これらのパスワードはすべて類推されやすいということが言えます。

 
 こうして実際につけられたパスワードを見ると、世の中の多くの人があまり好ましいとは言えないパスワードを使っていることがわかります。
 
 よく言われることですが、単純な文字の組み合わせ、単語、短いパスワード、少ない文字種だけのパスワードは、好ましくありません。
 
 使える文字種(英大文字、英小文字、数字、記号)はすべて交え、単純な組み合わせではなく、単語は含まず、十分な長さを持ったパスワード。
 
 できるだけ、そのようなパスワードを付けるようにしましょう。
 
 もっとも、いくら利用者が適切なパスワードを付けても、管理する側が暗号化もせず、簡単に盗み出されてしまうようでは困りものですが。

 

検索フォーム
スポンサードリンク
はてブ人気記事
スポンサードリンク
Twitter
スポンサードリンク
スポンサードリンク
おすすめApp
スポンサードリンク
プロフィール

reynotch

Author:reynotch
Twitter:@reynotch
Facebook
Google


セキュリティネタやiPhone、iPad、Android関連の記事を中心に気になったことを書いています。
IT系のネタはあまり難しくならないように、わかりやすい言葉で書きたいと考えています。



上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。