【2021年に最も使われたパスワード】
世界1位は「123456」
パスワード管理ツール「NordPass」を提供するパナマのセキュリティ企業であるNord Securityは11月17日、2021年で最も使われたパスワードのランキングを発表した。その結果、世界50カ国での1位は「123456」であり、日本での1位は「password」であることが分かった。
同社では世界50カ国で使われたパスワードを集計し、全体の合計値と各国でのランキング結果をトップ200まで算出。4TBに及ぶデータベースをサイバーセキュリティ事件の研究者と共同で評価し、リストを作成したという。結果は公式Webサイトで公開している。
日本での結果は「password」が1位で最も多く、次点で「123456」「123456789」「12345678」が続き、キーボード左のキーを縦に順番に打った「1qaz2wsx」が5位に入った。世界50カ国には入らず、日本でのみランクインしたものには「sakura」が15位、「takahiro」が21位、「nekoneko」が35位などがあった。
世界50カ国のランキング1位は「123456」で1億317万552回使われており、次点で「123456789」(4602万7530回)、「12345」(3295万5431回)と続いた。日本で1位だった「password」は2095万8297回で5位だった。
パスワード使い回しは危険、「今日からできること」を考えよう
セキュリティにおいては1年後を想像することも難しく、多くの方に取ってすぐにでも実現してほしいことは「パスワードをなんとかする」ことではないでしょうか。
今やいろいろなコラムで「パスワードを使い回すことはやめましょう」と言い続けています。しかしその実、世間ではパスワード使い回しに起因する攻撃が成功してしまい、新たな被害者が生まれています。「安易なパスワードを使い回すことは自己責任だ」というのは簡単ですが、未来の世界ではこの悩みが解消されているはずだと思います。
そこで、今回はパスワードにまつわる「今日からできること」を考えていきたいと思います。パスワードの使い回しをしないという理想を、極力手をわずらわせることなく実現する方法はあるのでしょうか?
「生体認証」
「パスワードをなくす」という話題では、その解決方法の一つとして「生体認証」が取り上げられます。これまではハイセキュリティが必要なエリアのために、一部のPCベンダーがオプションでデバイスを用意していたような認証方法ですが、いまでは手元にあるスマートフォンに内蔵され、多くの人が既に活用しているのではないかと思います。
生体認証は、確かに非常に強力な仕組みといえるでしょう。コンシューマー向け製品では指紋認証、顔認証ともにそれなりの精度で本人を認証可能です。グミで指紋をコピーするなど突破する方法もそれなりに存在しますが、1日に何度も画面ロックを解除するという方に取って、もはやなくてはならない機能といえます。
しかし、この生体認証があればパスワードをなくせるかというとちょっと微妙です。というのも、生体認証が強力なのは、成り済ましができないこと。つまり「本人ですら替えが効かない」点にあります。そのため、これそのものをパスワード情報として使うことは、二度とパスワードが変更できないことと同様になってしまいます。これでは困りますよね。
そこで、多くの場合、生体認証は「デバイス単体の認証器として活用し、セキュリティチップとの通信を認可する」という使い方をしている例が多いです。よく顔認証が怖いといわれるのは「顔の写真が収集されるので、情報漏えいしたら怖い」という誤解がありますが、ほとんどの生体認証は特徴点だけを記録し、その情報もデバイス内に閉じ込めています。この仕組みをうまく使ったものは既に実用化されており、Yahoo!やLINEはFIDO 2.0仕様に沿った「パスワードのいらないログイン」を実現しています。
パスワードが1つしかいらない世界
多くのサービスがそういった先進技術を導入してくれればよいのですが、なかなかうまく普及していないというのが実情です。明るい未来を待つ前に、いまできることはあるのでしょうか。個人的には「パスワード管理ツール」を推奨したいと思います。
パスワード管理ツールとは、各サービスで必要とされるID/パスワードとサービスのURLを記録し、Webブラウザで該当ページを開くと自動でID/パスワードを入力してくれるというもの。実はURLとID/パスワードが対応するので、いくらそっくりなフィッシングサイトに誘導されても、URLが違えばID、パスワードが自動入力されないため、フィッシング対策にもなるというシロモノです。個人的にはWindows 10時代において、ウイルス対策ソフトよりも優先度が高い有料セキュリティソフトだと思っています。
もはや現代において、IDとパスワードは「覚えるべきではない」情報です。覚えなければならないから、パスワードの使い回しが発生します。頑張って覚えるのではなく、もう覚えないためにパスワード管理ツールを使います。特に便利なのは、パスワード管理ツールは強いパスワードを自動生成してくれること。パスワードをツールに作らせることで、使い回しをITの力で防げます。