セキュリティの専門家であるBruce Schneier氏は12月15日,ソーシャル・ネットワーキング・サービス「MySpace」をかたるフィッシング詐欺サイトで収集されたパスワードの傾向を公表した。それによると,「password1」というパスワードが最も多かったという。
今回のデータは,Schneier氏が執筆および発行している月刊メール・マガジン「Crypto-Gram Newsletter」12月15日号の記事中で紹介されたもの。同メール・マガジンの記事の一部は,ITproの「CRYPTO-GRAM日本語版」において日本語化して提供している。
Schneier氏は,別のセキュリティ専門家から研究目的で提供されたデータを使って,パスワードの傾向を調べた。提供されたデータは,MySpaceをかたるフィッシング詐欺の調査の際に“押収”されたユーザー名およびパスワード3万4000件。フィッシング・サイトは既に閉鎖されている。
このフィッシングの手口は極めて“基本的”。MySpaceのログイン・ページに見せかけた偽ページにユーザーを誘導して,ユーザー名とパスワードを入力させる。そしてそれらを,攻撃者が乗っ取った複数のWebサイトへ送信させる。MySpaceでは,およそ10万人のユーザーがこのフィッシング詐欺にだまされたとしている。今回の集計対象となったのは,そのうちの3万4000件。
集計の結果,収集されたパスワードの平均文字数は8文字。6文字以下は17%で,7文字が23%,8文字が25%。各文字数の割合は以下のとおり。
| 文字数 | 割合(%) |
|---|---|
| 1~4 | 0.82 |
| 5 | 1.1 |
| 6 | 15 |
| 7 | 23 |
| 8 | 25 |
| 9 | 17 |
| 10 | 13 |
| 11 | 2.7 |
| 12 | 0.93 |
| 13~32 | 0.93 |
アルファベットと数字を組み合わせたパスワードは全体の81%を占めた。
| パスワードの構成文字 | 割合(%) |
|---|---|
| 数字 | 1.3 |
| アルファベット | 9.6 |
| 数字とアルファベット | 81 |
| 数字とアルファベット以外 | 8.3 |
アルファベットと数字を組み合わせたパスワードでは,「小文字アルファベット数文字の最後に数字1つ」の組み合わせが最も多く,全体の28%を占めた。そしてその3分の2では,最後の数字は「1」だったという。
一般の辞書に載っている単語1つをパスワードにしているケースは全体の3.8%に過ぎなかった。「単語1つ+数字1つ」としていたユーザーは12%。この場合も,その3分の2では,最後の数字は「1」にしていた。また,メール・アドレスのユーザー名部分(@よりも前)をパスワードにしていたのは,わずか0.34%だった。
よく使われていたパスワードは以下のとおり。最も多かったパスワードは「password1」で全体の0.22%,次の多かった「abc123」と「myspace1」は,それぞれ0.11%だった。これら以降は,多い順に「password」「blink182」「qwerty1」「fuckyou」「123abc」「baseball1」「football1」「123456」「soccer(0.04%)」「monkey1」「liverpool1」「princess1」「jordan23」「slipknot1」「superman1」「iloveyou1」「monkey(0.02%)」――だったという。
・Crypto-Gram Newsletter(December 15, 2006)
