Kasperskyは、パスワードの強度を測定し、ブルートフォース攻撃やパスワード類推攻撃に対する脆弱性の評価を調査したレポート公表した。
調査は、インフォスティーラー(情報窃取型マルウェア)によって盗まれ、ダークネット上に公開されていた1億9,300万件のパスワードを対象に解析されている。
強力なパスワードはわずか23%
調査結果によると、解析された全パスワードのうち、1分未満で解読される可能性があるパスワードは45%に達し、約8,700万件に上ることが判明。
対して、1年以上かかる強力なパスワードは約4,400万件(23%)という結果だったという。
【パスワード解読にかかる時間と割合】
| 解読にかかる時間 | 調査対象パスワードに占める割合 | 件数(万件) |
| 1分未満 | 45% | 8,685 |
| 1分以上~1時間未満 | 14% | 2,702 |
| 1時間以上~1日未満 | 8% | 1,544 |
| 1日以上~1カ月未満 | 6% | 1,158 |
| 1カ月以上~1年未満 | 4% | 772 |
| 1年以上 | 23% | 4,439 |
Kasperskyがユーザーのデバイスやシステムから収集したセキュリティ情報によると、2023年にはパスワードスティーラーを使用した攻撃が3,200万件以上発生していることが明らかになっている。
多くのパスワードは辞書にある単語、名前、日付、シーケンス(「12345」や「qwerty」など)を含んでおり、類推アルゴリズムで簡単に解読されているとのこと。
パスワードに含まれる一般的な単語やフレーズには以下の特徴が確認されている。
名前:「ahmed」「nguyen」「kumar」「kevin」「daniel」
よく使われる単語:「forever」「love」「google」「hacker」「gamer」
シーケンスなど:「password」「qwerty12345」「admin」「12345」「team」
鍵はランダムなパスワード
Kasperskyは、パスワードの強化対策として、以下の方法を推奨している。
・パスワードマネージャーを使用し、マスターパスワードのみを覚える。
・各サービスごとに異なるパスワードを使用。
・誕生日や家族の名前など、容易に推測される情報を避ける。
・2要素認証(2FA)を有効化する。
・セキュリティソリューションを使用し、インターネットやダークウェブを監視。
Kasperskyのエキスパートであるユリヤ・ノヴィコワ氏は、「人は無意識に辞書にある単語や名前、番号などを含む『人間的な』パスワードを作成しがちです。これを踏まえ、信頼性の高いパスワードマネージャーを使用して、完全にランダムなパスワードを生成することが最も安全です」と述べている。
【参考記事】
Kasperskyレポート:1億9,300万件のパスワードを対象に、さまざまな解読手法に対する強度を分析
https://www.kaspersky.co.jp/about/press-releases