2023年11月16日、パスワード管理ソフトを提供している「NordPass(ノールパス)」が、2023年に世界で利用されたパスワードを発表しました。
本記事では、よく利用されているパスワードTOP200に加え、解読されやすいAndroidスマートフォンのロック解除方法「パターンロック」について解説していきます。
\ Youtubeでも解説中! /
2023年世界で利用されたパスワードTOP10
| 順位 | パスワード | クラックタイム | 利用数 |
| 1 | 123456 | 1秒 | 4,524,867 |
| 2 | admin | 1秒 | 4,008,850 |
| 3 | 12345678 | 1秒 | 1,371,152 |
| 4 | 123456789 | 1秒 | 1,213,047 |
| 5 | 1234 | 1秒 | 969,811 |
| 6 | 12345 | 1秒 | 728,414 |
| 7 | password | 1秒 | 710,321 |
| 8 | 123 | 1秒 | 528,086 |
| 9 | Aa123456 | 1秒 | 319,725 |
| 10 | 1234567890 | 1秒 | 302,709 |
TOP10の内、7つが数字の羅列で構成されており、パスワードの意味を成しえていません。その他も殿堂入りの「password」や、また過去4年間のランキング圏外だった「admin」が堂々の2位。いずれも単語のみで構成されている作りですし、唯一9位だけ英数字ですが構成が単純。
これらはハッキングの対象になろうものなら、たったの1秒で解読されてしまいます。
11位~100位まで
101位~200位まで
よく使われるパスワードの傾向
既述したパスワードを分析すると、数字の羅列はもちろん、PCキーボードの配列が多い傾向があります。数字や配列は万国共通なので外国からも狙われやすくなります。
例えばよく利用されている「qwerty」ですが、これはキーボードの左上の「Q」から順に右に進んだだけの配列。
キーボード配列で最も使われるパスワードが「qwerty」。他にも「1q2w3e4r」「asdfghjkl」「zxcvbnm」などがありますが、もうお分かりですよね。こんなものはパスワードではありません。
173位が驚異のクラックタイム
2023年最も解読されにくいパスワードが「theworldinyourhand」。これを解読するのに何世紀にも渡るとのこと。ちゃんと文章にすると「the world in your hand」で、直訳すると「あなたの手の中の世界」となります(スマホのこと?)。
なぜこのパスワードだけが群を抜いて解読されないのか、Youtubeで検索すると「the world in your hand」という名で動画を投稿しているチャンネルを見つけましたが関係ないでしょう(アラビア語でさっぱり)。このパスワードの利用数は20,176回で決して少なくなく、どこの誰がどうやってこのパスワードに行きついたのかは不明。
文字数の多さと文章になっていることが難解にさせているという結論に至りました。
日本でよく使われたパスワード
NordPassにおいて2023年の日本でよく使われたパスワードは発表がなかったため、参考に2022年版を一部抜粋しました。
日本でも「password」や「qwerty」などが上位を占めていますがが、TOP50の中では画像のように単語で作られたパスワードも数多くありました。「daisuki」「doraemon」「himawari」など日本特有のパスワードですが、残念ながら後述する辞書攻撃によって簡単に見破られます。
パスワードを見破る手口
単純なパスワードほど解読されやすいのは誰でも理解できますが、なぜこうも簡単に見破られるのでしょうか。ここからはハッキングの手口を見ていきましょう。
- 総当たり攻撃と逆総当たり攻撃
- 辞書攻撃
- ソーシャルエンジニアリング
参考:Norton「複雑で強いのに忘れにくいパスワードの作り方と、正しい管理法」より
総当たり攻撃と逆総当たり攻撃
ハッキングで用いられる手口として、「ブルートフォースアタック(総当たり攻撃)」と「リバースブルートフォースアタック(逆総当たり攻撃)」があります。
「ブルートフォースアタック(総当たり攻撃)」とは、パスワードを一つずつしらみ潰しに変えていく手法で、時間さえあればいずれはヒットするという理論。ID(ユーザー名)は固定してパスワードだけを変えていくため、パスワードが難解であればあるほど解読に時間を要するということになります。
逆に「リバースブルートフォースアタック(逆総当たり攻撃)」は、パスワードを固定してID(ユーザー名)をしらみ潰しで変えていく手法で、よく利用されているパスワードを使っていると簡単にヒットしてしまいます。
辞書攻撃
「辞書攻撃」とは、「意味のある言葉」を使ったパスワードです。代表的なのは「password」や「admin」など、他にも「apple」や「banana」、「tokyo」などもこれに該当します。
ソーシャルエンジニアリング
今までの3つとは違い、ソーシャルエンジニアリングは物理的にパスワードを入手する手法です。
例えば、パソコンにパスワードを書いた付箋を貼っていたり、カフェでパスワードを入力を見られていたりと、誰でも被害に遭う恐れがあります。思い当たる節がある人も多いでしょう。
信用していた人がまさかの・・・という大事件もあり、約580億円流出した被害も現実にはあります。
なぜ簡単に見破られるのか
既述した「ブルートフォースアタック(総当たり攻撃)」「リバースブルートフォースアタック(逆総当たり攻撃)」「辞書攻撃」は、これらすべてコンピューターが行っています。市場でもハッキングソフトが出回っており、簡単に入手することができます。
「12345678」などの単純なパスワードが簡単に見破られる理由は、これで理解できるでしょう。
複雑なパスワードを作成するコツ
パスワードはGoogle chromeやsafariなどブラウザに記憶してもらう人も多いと思いますが、万が一アカウントが乗っ取られたら記憶させたパスワードが丸ごと奪われます。よって、自分で決めた難解なパスワードを作り、自分で覚えておける法則さえ作っておけば解読されにくくなります。
ここからは複雑なパスワードを作り方、かつ覚えておけるコツを解説していきます。
- 自分だけのルール(法則)を作る
- 文章の頭文字をとる
- アルファベットを記号に変換する
- 数字ではさむ
- 利用サービスごとに変える
※以下のパスワード作成のコツは、自己責任のもと判断してください
自分だけのルール(法則)を作る
例えば、「自分の好きなアニメ」をベースの文章にします。特にここはアイドルでも出身地でも構いません。
まぁここは例なのでアニメでやるとして、こうなります。
私の 好きな アニメは 進撃の巨人 です
watashino sukina animeha shingekinokyojin desu
文章の頭文字をとる
次に、今作った文章の頭文字だけを抜き出しましょう。
watashino sukina animeha shingekinokyojin desu
w s a s k d
「進撃の巨人」のSだけでも、固有名詞が「〇〇の〇〇」になっていたらKも取ってもよいです。あくまで覚えやすいように。
アルファベットを記号に変換する
次にアルファベットを記号に変換すると難解度がアップします。「a→@」「B→6」「o→0(ゼロ)」「s→$」「w→3(横に倒せば)」「z→2」といった具合ですね。
そうすると、
wsaskd
w$@$kd
このような難解なパスワードができあがります。
ただこれは、記号が使えるパスワードを作るとき限定となり、サービスによって記号が使えない場合があります。
数字ではさむ
パスワードは数字を入れるのも定石です。しかし、1234の羅列や5555などのゾロ目はなるべく避けましょう。
例えば3780を入れる場合、このようになります。
w$@$kd
37w$@$kd80
どんどんパスワードらしくなってきました。
パスワードを使いまわさないために
難解なパスワードを作っても、どのサービスにも同じパスワードを使いまわすと効力が薄まります。これを回避するには、利用するサービスの頭文字を入れるのも有効です。
例えばインスタグラムで使うなら、
37w$@$kd80
i37w$@$kd80
頭にインスタグラム(Instagram)の「i」の文字を入れました。Xならそのまま「x」、Facebookなら「F」を入れると覚えやすくなります。頭に付けても最後に付けても問題ありません。
英数字を使っても構成がシンプルなら意味がない
パスワードを作る定石として「記号」を入れるとハッキングされる可能性が減りますが、元々解読されやすいパスワードに記号を入れてもあまり意味を成してません。
例えば、2022年世界で最も利用されたパスワードは「password(2023年は7位)」ですが、これに記号を入れると「P@55w0rd」や「P@$$w0rd」で少しもじることはできます。しかし、いくらもじろうとも自らよく利用されているパスワードに寄せるのは自滅行為です。
その証拠に2023年の198位と199位はこのもじられたパスワードですが、どちらもクラックタイムは1秒となっています。
パスワードのおすすめ管理方法
おすすめのパスワード作成方法を解説しましたが、やはりパスワードを覚えておくのは不安・・という人も少なくないでしょう。
もちろん頭の中で記憶しておくことが、何よりも理想の形なのですが、それ以外のパスワードの管理方法について解説していきます。
紙に書き留めておく
意外と安全なのが「紙に書き留めて厳重に保管する」こと。今の時代アナログなやり方ではありますが、その紙さえ厳重に保管しておけば、盗まれる可能性も減るでしょう。
紙に書く内容は、パスワードそのものではなく自分で決めたルールを書いておくといいかと思います。
パスワード管理ソフトを利用する
パスワード管理ソフトのメリットは、個々のパスワードを覚えておく必要がありません。一度パスワードを作ってしまえば、あとはソフトが記憶してくれます。
おすすめはNortonのパスワードマネージャー。
Norton(ノートン)のパスワードマネージャーは、アカウントにログインしたときにパスワードの他に追加でユーザーの本人確認をする「2要素認証(2FA)」という機能があります。追加認証の例として、指紋・顔・音声・PIN番号・秘密の質問・SMSに送信された番号入力などが挙げられます。
またパスワード作成機能が搭載されており、強力かつ複雑なパスワードを生成してくれます。
-
-
あわせて読みたい世界売上1位のウイルス対策ソフト「ノートン360」購入レビュー|価格は高いが品質も高い!
続きを見る
Androidスマホでよく使われるパターンロック
ここからはAndroidスマートフォンでよく使われるパターンロックをご紹介していきます。
パターンロックとは、Androidスマホに用いられている画面ロック解除方法の一つで、9つの点を一筆書きでなぞり解除するアレです。最低4つの点を通る必要があるため、パターンは14万通り以上あります。
| ノード(通過点)数 | パターン数 |
| 4つ | 1,624 |
| 5つ | 7,152 |
| 6つ | 26,016 |
| 7つ | 72,912 |
| 8つ | 140,704 |
| 9つ | 140,704 |
通過する点をノード数と呼び、統計データでは平均ノード数は5つ。しかし5つと6つではパターン数が大幅に増加するため、おすすめは6つ以上です。
ノード数は増やせば増やすほど解読されにくいようにも思えますが、これにもある特徴があります。ノルウェー科学技術大学が発表した「パターンロックの統計」では、4,000人以上のパターンロックを分析されています。これを参考に解説していきます。
参考:ノルウェー科学技術大学マルテ・ローグ修士論文パターンロック調査より
特徴1.約7割以上の人が四隅からスタートしている
本研究の調査結果では、77%の人が四隅を起点にしていることが分かりました。4,000人だとすると3,080人。無意識なのか、覚えやすさ重視なのかは分かりませんが、見破られやすい特徴のひとつと言えます。
また4,000人のうち4割が左上を起点にしているそうです。論文の中でも、左利き・右利き問わず、起点は同じだったとのこと。
ノルウェー語や英語が左から右方向に書くからなのか?と考えましたが、日本人が右上から下へ向かうかと言われると、長年この業務を担ってきた立場から見るとそんなことはありません。
単に人間の考えることは同じなのでしょう。と自分を納得させてます。
特徴2.アルファベットを使用する
こちらも同じ研究において、10%以上の対象者がアルファベット文字に基づいて作られていたのだと。筆者自身、正直このパターンロックはよく見かけました。
大体は自分や家族のイニシャルを使用することが多いと思います。万が一攻撃者が対象者の知り合いであれば、正解に辿り着く難易度はかなり低くなってしまうでしょう。
パターンロックが見破られる可能性はある
複雑なパターンロックを設定していようとも、見破られる可能性は以下の3点です。
- 画面の指紋跡で分かる
- 盗み見される
- よく使われるパターンロックから試される
画面の指紋跡で分かる
指紋認証や顔認証と違い、パターンロックはどうしても指紋の後の痕跡で分かってしまう場合があります。手の指紋や油などにより、轍(わだち)を残してしまい、攻撃者はそれを辿って正解を導き出します。
ディスプレイは綺麗に拭き取っておくことをおすすめします。
盗み見される
パスワードの章で解説した「ソーシャルエンジニアリング」と同様、どこで見られているか分かりません。指でなぞったところを盗み見された場合、攻撃者が再現できる確率は64.2%という研究結果も出ています。
パターンロックが単純であればあるほど、一目で覚えられてしまうため、複雑性を持たせる理由の一つでもあります。
よく使われるパターンロックから試される
攻撃者がノーヒントでパターンを解読する場合、よく使われているパターンから試されます。既述したように、パターンロックを設定する人間の特徴として、四隅を起点にしたりアルファベットなどが該当します。
おすすめのパターンロック3選
おすすめのパターンロックを3つ解説します。しかし、必ずこの通りにする必要はなく、考え方を参考にしてもらえればと思います。
分かりやすいようにパターンロックに番号を振っておきます。
複雑な組み合わせは面倒なひと
順番:【⑥→⑧→⑦→⑨→⑤】
◆ポイント
- 四隅をスタート地点にしていない
- 通った道を戻る
- ノード数は5つ
研究結果で多かった四隅スタートを避け、⑥からスタートしています。ノード数(通過数)は5つと多くはないですが平均的です。
またパターンロックの特徴として、一度踏んだ点はもう踏めませんが、その先に踏んでない点があれば通れます(⑧→⑦→⑨の箇所)。言い方を変えれば、端から端に移動する場合は、目の前の点を必ず踏むことになります。
基本的に人は、進めた点を戻る行為はあまり思いつかず、進めた点を前か左右に進めることの方が多いのです。
面倒さよりセキュリティが大事なひと
順番:【⑥→①→⑧→③→②→④】
◆ポイント
- 四隅をスタート地点にしていない
- 複雑性がある
- ノード数は6つ
こちらのパターンロックの特徴は、一つ目と同様、四隅をスタート地点にしていない、複雑性を持たせている、そしてノード数は6つとなります。ノード数が5と6つではパターンが2万通り弱増えるため、解読するのも難解になります。
しかし、⑥→①→⑧→③がすべて斜めに入る(将棋の桂馬跳び的な)ため⑤の真ん中を避けるのが少々難しいかもしれません。
とにかく安全面を重視したいひと
順番:【④→②→③→①→⑧→⑦→⑤】
◆ポイント
- 四隅をスタート地点にしていない
- 通った道を戻る
- 複雑性がある
- ノード数は7つ
難易度は高めですが、ノード数はパターン数72,912通りのノード数7です。こちらは、上記2つの要素を取り入れ「四隅避け」と「逆戻り」と「複雑性」を兼ね備えてあります。
覚えるのも苦労するかもしれませんが、安全面を重視するならこのくらいの複雑性を持たせるべきかと。
まとめ
今回は世界でよく使われるパスワードランキング、パスワード作成のコツ、さらによく使われるパターンロックについて解説しました。
書いていて面白かったのは、人間は同じことを考える生き物ということ。十人十色という言葉もありますが、多少の違いはあれど、行き着く答えは「同じような行動を取っている」。
確かにパターンロックでは、所詮14万通りなので人と被るのは当然ですが、ほとんどの人が起点を四隅にしているのも興味深い。
この記事を読んで、もし該当しているなら今すぐ変えた方がいいでしょう。ハッキングは24時間稼働していますので、この瞬間にも狙われているかもしれません。
※この記事に掲載しているパスワード作成のコツは、自己責任のもと判断してください
-
-
あわせて読みたい【2023年】月134円から導入できるスマホのウイルス対策ソフトおすすめ5選|パソコンと併用可能
続きを見る
