パスワード使用率No1「123456」がダントツ人気、これは避けるべきパワスードTOP100

ac05
メールアドレス、クレジットカード番号、性的嗜好などの登録情報が漏洩した不倫マッチングサイト「Ashley Madison(アシュレイ・マディソン)」のデータ流出事件は、事件発生後約1カ月になろうとしている。今回は研究者がアシュレイ・マディソン事件でクラックされた1100万件以上のアカウントを調査して、使用頻度の多い順にパスワードを並べると人気パスワードトップ100はこんな感じになりました。

Top 100 list shows Ashley Madison passwords are just as weak as all the rest

スポンサーリンク

人気パスワードTop100不動の1位は「123456」

PASSWORD NUMBER OF USERS
123456 120511
12345 48452
password 39448
DEFAULT 34275
123456789 26620
qwerty 20778
12345678 14172
abc123 10869
pussy 10683
1234567 9468
696969 8801
ashley 8793
fuckme 7893
football 7872
baseball 7710
fuckyou 7458
111111 7048
1234567890 6572
ashleymadison 6213
password1 5959
madison 5219
asshole 5052
superman 5023
mustang 4865
harley 4815
654321 4729
123123 4612
hello 4425
monkey 4296
000000 4240
hockey 4191
letmein 4140
11111 4077
soccer 3936
cheater 3908
kazuga 3871
hunter 3869
shadow 3831
michael 3743
121212 3713
666666 3704
iloveyou 3671
qwertyuiop 3599
secret 3522
buster 3402
horny 3389
jordan 3368
hosts 3295
zxcvbnm 3280
asdfghjkl 3174
affair 3156
dragon 3152
987654 3123
liverpool 3087
bigdick 3058
sunshine 3058
yankees 2995
asdfg 2981
freedom 2963
batman 2935
whatever 2882
charlie 2860
fuckoff 2794
money 2686
pepper 2656
jessica 2648
asdfasdf 2617
1qaz2wsx 2609
987654321 2606
andrew 2549
qazwsx 2526
dallas 2516
55555 2501
131313 2498
abcd1234 2489
anthony 2487
steelers 2470
asdfgh 2468
jennifer 2442
killer 2407
cowboys 2403
master 2395
jordan23 2390
robert 2372
maggie 2357
looking 2333
thomas 2331
george 2330
matthew 2298
7777777 2294
amanda 2273
summer 2263
qwert 2263
princess 2258
ranger 2252
william 2245
corvette 2237
jackson 2227
tigger 2224
computer 2212

約1%のユーザーからの圧倒的な支持を受けた不動のNo.1は「123456」。「Adobeから流出したパスワードでよく使われていたものトップ100」でもトップになるなど、「使ってはいけないパスワード1位」として知られる「123456」の安定感を見せ付ける結果になっています。

どうやってクラックしたのか?

ところで今回ハッキングによって流出したアシュレイ・マディソンのユーザーパスワードは「bcrypt」というアルゴリズムで強固にハッシュ化されていたため、当初は解読が困難であると思われていました。しかし、パスワードのbcryptハッシュを効率的にクラックした方法が明らかにされています。

CynoSure Prime: How we cracked millions of Ashley Madison bcrypt hashes efficiently
http://cynosureprime.blogspot.jp/2015/09/how-we-cracked-millions-of-ashley.html

CynoSure Primeというパスワードクラック集団は、アシュレイ・マディソンのパスワード機構に「$」で始まる変数「$loginkey」が使われているのに目をつけました。この$loginkeyはユーザーがパスワードや登録メールアドレスなどを変更するときに自動ログインできるように使用されるトークン(ワンタイムパスワード)を生成するための機能と推測されています。CynoSure Primeは$loginkeyが「MD5」という比較的クラックしやすいハッシュ関数でハッシュ化されていることを見つけ、パスワード本体の強固なbcryptハッシュをクラックする代わりにこの$loginkeyをクラックすることで、効率的にパスワードを解読したとのこと。

まとめ

ここで言いたかったのは、アカウントやパスワードは結構同じのを使いまわししていると思いますが、せめて「123456」や「12345」や「abcd」連番系は簡単にクラックされるということ。
私も含め、考えさせられる事件ではあると思います。さすがに連番ではないが誕生日や名前を組み合わせたり初めの頃は作りがちだったが最近は英数字をランダムに組み合わせをし12字以上を心がけています。

しかし、この不倫サイトは男性が2000万人オーバーなのに対して女性はわずかに1492人という、あまりにもさびしい数字であったと報じられているようですが、これって・・・w
ちゃんと出会えた人が圧倒的に少ないだろうね。
1410188302108584002

Almost None of the Women in the Ashley Madison Database Ever Used the Site [Updated]

スポンサーリンク

シェアする

フォローする