2024年に最も使用されたパスワードは？TOP200

リトアニアに本社を置くサイバーセキュリティ企業、Nord Security(ノード セキュリティ)より、2024年最も使用されたパスワードTOP200が発表されました。
主にVPNサービスの「NordVPN」や、パスワード管理ツール「NordPass」などを提供いる企業で、毎年このランキングを発表しているようです。

Top 200 Most Common Passwords
https://nordpass.com/most-common-passwords-list

サイト内ではTOP200まで紹介されていますが、今回はTOP20を紹介したいと思います。

まずは、世界のTOP20です。

ランキングと併せて、「Time to crack it」というハッカーによって突破されるまでの目安の時間も記載されています。
TOP20はすべて “1秒” となっており、一瞬ですね。

ブルートフォースアタック(パスワード総当たり攻撃)

サイバー攻撃の中に「ブルートフォースアタック」と呼ばれるものがあります。
とにかく全てのパスワードのパターンを片っ端から総当たりで入力し、不正に認証を突破しようとするサイバー攻撃です。
力ずくの方法ではありますが、前述の通り脆弱なパスワードを使用していると、ものの数秒から数分で不正アクセスを許してしまうことになります。

もちろん突破されてしまった場合、個人情報や機密情報の漏えいといった個人レベルの被害から、Webサイトの改ざんといったサービスレベルの被害により、お客様からの信頼を損ねることに繋がってしまいます。
また、踏み台にされることで、被害者だと思っていたのに、加害者になってしまう可能性もあります。

パスワード設定時に、「あとで変更するから」「面倒だから」などと横着をしないようなルールを決めることも重要かもしれません。

パスワードポリシー

危険なパスワードを使用しないように、設定時のルールや条件が設定されているものも多くみられるようになりました。
「英数字8文字以上」や「記号英数字12文字以上」などです。
より厳しくなると、アルファベットの大文字と小文字を含む必要があるものもあります。

弊社でも、お客様よりサーバ構築やユーザ作成・各種設定のご依頼をいただく際に、パスワードポリシーが設定されているケースがあります。
体感ではありますが、ご希望いただくことが増え、やはり基本的にセキュリティ意識は高まっているように感じます。
もちろん、ご希望をいただかなくても、弊社任意のパスワードを設定する場合は、パスワード生成ツールなどを使用した強固なパスワードを設定しておりますのでご安心ください。

また、AWS には、IAM ユーザー用のアカウントカスタムパスワードポリシーを設定することも可能です。

IAM ユーザー用のアカウントパスワードポリシーを設定する
https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html

IAM ユーザーのパスワードの複雑度の要件や必須のローテーション期間を指定するためのカスタムパスワードポリシーを AWS アカウント に設定できます。

カスタムパスワードポリシーを設定しない場合は、IAM ユーザーパスワードは以下のデフォルト AWS パスワードポリシーが適用されます。

・パスワードの文字数制限: 8～128 文字
・大文字、小文字、数字、英数字以外の文字 (! @ # $ % ^ & * ( ) _ + – = [ ] { } | ‘) のうち、最低 3 つの文字タイプの組み合わせ
・AWS アカウント 名または E メールアドレスと同じでないこと
・有効期限のないパスワード

まとめ

今回は、世の中で使用される「危険なパスワード」についてまとめました。
頻繁にパスワードを変更することは推奨されていないようですが、危険なパスワードとなれば話は別です。
ターゲットにされ、被害が出る前に強固なパスワードに変更しましょう。
また、強固なパスワードを使用することを当たり前にしていきましょう。
今回は詳しく紹介できませんでしたが、二要素認証や生体認証もうまく活用するべきかと思います。
まずはパスワードから。
日常に潜むサイバー攻撃に備えましょう。

それでは、また。