日経クロステックの連載に、パスワードを分析した github プロジェクトの紹介がありました。元記事はこちら（無料で読めるのは1ページ目のみ）。

xtech.nikkei.com

　で、一番よくつかわれるパスワードは 123456 だったよというのは良いとして、他が気になります。元ネタにあたりましょう。

PWDB...新世代のパスワード大量解析プロジェクト

　元ネタのリンクはこちらにありました。

github.com

　ネット上に流出した、実際に使われていたパスワードを解析して傾向を分析したプロジェクトです。ダンプされたパスワード候補は10億以上、抜き出したパスワードは約1億７千万。このうち、上位１０００万のパスワードで全体の５４％がカバーできるとのこと。

　上位１０００万のパスワードリストは ignis-10M.txt というファイルでダウンロードできます。攻撃側としては、これで辞書攻撃をするとクラックできる可能性が高まるということになるでしょう。逆に、この中に自分が使っているパスワードが含まれていないか？というのをチェックしておくと良さそうです。

チェックしてみた

　というわけで、さっそく ignis-10M.txt をダウンロード。100MB近くありますが、これを適当なエディタに食わせて、自分のパスワードで検索...ああよかった、含まれていませんでした。

　参考まで、ベスト２５を取り出すとこんな感じになります。

123456
123456789
password
qwerty
12345678
12345
123123
111111
1234
1234567890
1234567
abc123
1q2w3e4r5t
q1w2e3r4t5y6
iloveyou
123
000000
123321
1q2w3e4r
qwertyuiop
yuantuo2012
654321
qwerty123
1qaz2wsx3edc
password1

　後ろの方までつらつらリストを眺めていると、人名が結構含まれています。日本人の名前も入っていました。yamaguchi, kinoshita, takahashi, masanori, satoshi...

　クルマのブランドとか車名も危ないですね。toyota, nissan, honda, suzuki, yamaha, porsche, 何でもある感じです。車名もついているやつでいうと、toyotamr2 とか mazdarx7 とか hondacivic とか honda125 とか。 

安易なものは使わないようにしましょう

　毎年、流出しているパスワードの傾向を分析している組織があるそうです。先ほどのリストとも結構かぶりますね。

www.atmarkit.co.jp

　おすすめのパスワード長は１２文字以上とのこと。自分が使っているパスワード群を思い浮かべても、そこまで長いのはあまりありません。徐々に強化していかないといけないなと思いました。

　皆様も、お気を付けください。