最弱パスワード調査から考える「適当で最強」の作り方
よくあるパスワード最弱ランキング「昔から相も変わらず」アップデートもされず... いやぁ「まだまだセキュリティの意識は低い」なぁと危惧しています。自身で守らねばならないのに...
2025年に日本で最弱のパスワードは「123456」ではなかった
調査の結果、日本国内で最も多く使われていたパスワードは、よく知られている単純な数字列「123456」ではなく、ルータやIoT機器の初期設定で使用される「admin」であることがわかった。
「admin」は、Wi‑Fiルーターやネットワークカメラ、スマート家電などの管理画面において、出荷時の初期パスワードとして広く使用されている。機器を購入後に設定変更が行われていないデバイスが国内に多数存在することが判明した。
もっとも使われているパスワードTOP20のランキング見ても「まぁ例年通り」な代わり映え無し。
初期設定が、ユーザー名admin パスワードpassword みたいな組合せ多いですよね。とりあえず替えましょう。
文字入力しないパスワードも大分普及してきたと思いますが、まだまだ文字入力ベースのパスワードに頼らなければならない現状です。
自分だけわかれば良いパスワード
今回のadminですが、
・adomin
・adminn
・adominn
とかじゃだめですかね? 試験問題でもないのだからスペルミスとかないし、これだけじゃ最弱と大差ないですが、組合せのパーツとしては充分な文字列。
こんなのに、記号加えて、数字足して、ゴニョゴニョすれば、それなりのパスワードが完成!3分クッキングよりも早い!
・adominn & 123 # gonyo + gonyo = 1pun
作った時の組合せさえ忘れなければ、結構長いのも簡単。パスワードツールを使えば絶対に覚えられないほどのパスワードも作れますが、そこはTPOに合わせた使い分けで良いと思います。
頭の中で覚えなければならないパスも最低限いくつかありますのでツール併用でも、これは有効。
オススメは、已然ウケの低い【般若心経】+【パスワード】の組合せは色々最強かもしれないです。
セキュリティ思考のアプローチ
セキュリティセミナーとかで似たような話をしたとき質問されるのが、
そのパス漏洩したり盗まれたら意味ないですよね?と。
そりゃそうです。その通りです。だからなんですか?と。
私たちには、事前に出来うる限りの事をできるだけやっておくことしか出来ません。ある限られた状況の中においては、これらも有効ですが、それ以外の状況においては効果はないかも知れません。
最近NICTのガイドラインに
文字種の混在を強制してはならない。パスワード作成において、大文字・小文字・数字・記号の混在を強制することは禁止
がありましたが、使用禁止でもなく単なる文字種の混在強制を禁止という、1つの指針だけ。読み方を間違えているケースが多いのか要点のつまみ食いが多い気がします。記号なんかは短いパーツを組み合わせるのにとても有効と考えます。
パスワードはとにかく長ければいいという視点(NISTのガイドラインで考える)
だからと言って、100ゼロの話でもありません。セキュリティ思考の基本であると思います。
ちょっと視点を変えてみるだけでも充分なのです。
作り方と考え方のネタが満載の今までのパスワード関連の投稿も参照下さい。