セキュリティ企業の米ウェブセンスは2009年8月10日、同社の公式ブログにおいて、容易に推測できるパスワードを使っているユーザーが多いと警告。推測されにくいパスワードを使うよう改めて呼びかけた。
セキュリティ企業や組織は、以前からパスワード管理の重要性を強調している。例えば、著名なセキュリティ研究者であるブルース・シュナイアー氏は、自身のブログにおいて、以下のような文字列をパスワードに使わないよう呼びかけている。
- 辞書にある単語や、単語を組み合わせた文字列
- 誕生日や家族・ペットの名前、住所といった個人情報
- 「111」のような繰り返しの文字列
- 「abc」「qwerty」「123」といった連続した文字列
こういった文字列をパスワードにしていると、パスワード破りのツールなどによって簡単に破られてしまうからだ。
ところがウェブセンスによれば、実際には、こういったパスワードはよく使われているという。同社ではその一例として、あるセキュリティ研究者によって2009年5月に発表された研究結果を引用した。
研究結果は、オーストラリアで開催されたセキュリティ会議「AusCERT 2009」で発表されたもの。ニュージーランドにあるオークランド大学の研究者ピーター・ガットマン氏が、フィッシング詐欺で集められた2GB分のパスワードを分析したところ、ほとんどが安易な文字列だったという。例えば、「password1」「abc123」「myspace1」「password」「qwerty1」「123456」「soccer」などが多かったとする(図)。
どんなに高価なセキュリティ装置/サービスを導入していても、パスワードを破られてしまえば意味はない。また、Webサイトなどの管理者のパスワードが破られると、大量の情報漏えいを招く恐れなどがある。このため同社では、パスワード管理の重要性を改めて強調している。
