セキュリティ組織の米サンズ・インスティチュートは2011年2月14日、あるWebサイトから漏洩したパスワード情報を解析し、その傾向について解説した。それによると、最も多かったパスワードは「123456」だったという。
サンズ・インスティチュートによれば、ルートキットなどに関する情報を交換する会員制サイト「rootkit.com」から盗まれたと思われるパスワードのリストが、インターネット上で公開されているという。リストには1000件以上のパスワードが含まれている。盗まれた原因は、同サイトで利用しているWebアプリケーションの不具合。現時点では、同サイトは閉鎖されている。
リストに記載されているパスワードを集計したところ、最も多かったのは「123456」。以下、「password」「rootkit」「111111」と続く(表)。パスワードのトップ20は以下の通り。「rootkit」と「r00tk1t」は、サイト名(rootkit.com)にちなんで付けられたと考えられる。
1. | 123456 |
2. | password |
3. | rootkit |
4. | 111111 |
5. | 12345678 |
6. | qwerty |
7. | 123456789 |
8. | 123123 |
9. | qwertyui |
10. | 12345 |
11. | letmein |
12. | 1234 |
13. | abc123 |
14. | dvcfghyt |
15. | 000000 |
16. | r00tk1t |
17. | ìîñêâà |
18. | 1234567 |
19. | 1234567890 |
20. | 123 |
パスワード破りツールを使えば、これらのパスワードは簡単に破られてしまう。このためrootkit.comのユーザーでなくても、これらの文字列はパスワードにしないようサンズ・インスティチュートでは呼びかけている。
また、Webサイトからパスワードが漏れることは珍しいことではなくなっているので、パスワードを使い回さないことも重要だとしている。異なるサイトで同じパスワードを使っていると、芋づる式に破られる恐れがあるからだ。
とはいえ「r00tk1t」のように、サイト名ににちなんだ文字列を設定するのも、考え物だとしている。推測されやすいからだ。例えば、rookit.comで「r00tk1t」をパスワードにしているユーザーは、Googleのサービスでは「g00gl3」といった文字列をパスワードにしている可能性が高いだろうという。