パスワードを忘れた? アカウント作成
44409 story
セキュリティ

「よく使われる危険なパスワードTop500」にご注意を 173

ストーリー by hylom
リストにあるパスワードを使っている/.erは直ちに変更してね、 部門より
rijiの日記 曰く

GIGAZINEで紹介されている「よく使われる危険なパスワードトップ500」が興味深い(What's My Pass?に掲載されている元ネタ)。

さすがにそれはマズいだろって感じのものが多いが、「8675309」のようになぜそれがよく使われるのかわからないものもある。このリストに載っていなくても、辞書に載っているような単語は避けるのが基本でしょうか。

ちなみに、トップ100は下記のような感じです。

1~5位 123456 password 12345678 1234 pussy
6~10位 12345 dragon qwerty 696969 mustang
11~15位 letmein baseball master michael football
16~20位 shadow monkey abc123 pass fuckme
21~25位 6969 jordan harley ranger iwantu
26~30位 jennifer hunter fuck 2000 test
31~35位 batman trustno1 thomas tigger robert
36~40位 access love buster 1234567 soccer
41~45位 hockey killer george sexy andrew
46~50位 charlie superman asshole fuckyou dallas
51~55位 jessica panties pepper 1111 austin
56~60位 william daniel golfer summer heather
61~65位 hammer yankees joshua maggie biteme
66~70位 enter ashley thunder cowboy silver
71~75位 richard fucker orange merlin michelle
76~80位 corvette bigdog cheese matthew 121212
81~85位 patrick martin freedom ginger blowjob
86~90位 nicole sparky yellow camaro secret
91~95位 dick falcon taylor 111111 131313
96~100位 123123 bitch hello scooter please



この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 実体験 (スコア:5, 参考になる)

    by sayuporn (33927) on 2009年01月06日 20時38分 (#1486395) 日記
    サーバをインストールして、先方に渡し、
    DCに設置してもらってネットにつながってから色々作業しようと思ってました。
    で、rootのパスワードに「123456」を設定してました。

    メールで「ネットにつなぎましたよー」と連絡もらって、
    さあ作業しようと思ったらログインできません。ぎゃふん。
    東京から横浜まで行ってもらい、パスワードを再設定してもらいましたが、
    同じく「123456」だったので、その方がDCを出る頃にはまたワームに犯されてました。

    ワームに犯された上、ルートキットを孕ませられてしまったので、
    passwdでパスワードを変更してもshadowファイルを書き換えられてしまいます。
    のでしょうがないので、cronで1分おきにshadowファイルを上書きするようにして、
    泣きべそ書きながらrsyncでルートキットを駆除しました。
    • Re:実体験 (スコア:4, 参考になる)

      by Dobon (7495) on 2009年01月06日 23時45分 (#1486498) 日記
      いまどき、パスワードでログイン可能にする方が馬鹿です。
      sshを公開鍵認証のみ受け付けるよう設定しないと、間違いなく食い破られます。

      新規にIPをもらってサーバを建てても、半日~1日でログインに失敗したログが現れます。
      日本人らしき人名とか、よくあるシステムIDとか、ゾロゾロ、ゾロゾロと。

      # 怖いのは、相手側のIPアドレスがことごとく異なること。 この攻撃者は、一体、何台のPCを手下にしているのだろう?
      --
      notice : I ignore an anonymous contribution.
      親コメント
    • by Ryo.F (3896) on 2009年01月06日 21時55分 (#1486438) 日記
      パスワードでリモートログイン可能にしてた(?)だけでもあんまりですが、それ以上に

      泣きべそ書きながらrsyncでルートキットを駆除しました
      この対応はまずいんじゃない?普通、即ネットワークから切り離し、再インストールでしょう?
      親コメント
  • idontknow (スコア:3, おもしろおかしい)

    by kawa-t (37052) on 2009年01月06日 19時45分 (#1486368) 日記
    500位以内に"iknow"や"idontknow"がないのにちょっとがっかりしました。

    "What is the password?"
    "I don't know."
    "Don't you know it?"
    "Yes. I don't know."
  • by CowardDuck (25674) on 2009年01月06日 22時07分 (#1486445)
    昔々、人はどこまで長いパスフレーズを常用できるのかという問題に
    挑戦した勇者がおったそうな。

    勇者は日々、パスフレーズに工夫を加えついには 80 文字を超える
    パスフレーズを日々、使うようになったそうな。

    しかし、勇者は彼のお気に入りのキー配列のキーボードをカスタマイズ
    しまくったキーアサインで使っておった。それが悲劇をうんだのじゃ。

    ある日、勇者のお気に入りのキーボードが故障したので彼は予備として
    持っておった一個 \500- のごく普通のキーボードに繋ぎかえパスフレーズを
    打ったのじゃ。

    。。。勇者が予備のキーボードに何度パスフレーズを打っても、キーアサイン設定を
    解除してパスフレーズを打っても、ただただ拒絶されるばかりだったそうな。。。

    そう、勇者は大脳ではなく小脳でパスフレーズを覚えておったのじゃ。。。。

  • GIGAZINEの配慮? (スコア:2, おもしろおかしい)

    by bewon (36083) on 2009年01月06日 19時42分 (#1486365) 日記
    GIGAZINEの記事では、パスワードランキングが画像ファイルになっていて
    「あぁ、安易にコピペできないように画像にしたのかァ」と感心したけど、

    What's My Pass ? ではテーブルタグに埋めたテキストなのかっ。
  • by hohehohe (11394) on 2009年01月06日 19時42分 (#1486366)
    と思ったらリンク先に
    Source: Perfect Passwords, Mark Burnett 2005
    って書いてました。でこの本の著者はどうやって知ったんだろう?

    ついでに:約9人に1人がテーブル9.1(Top500のことかな)のパスワードを使ってるらしいです。
    --
    AVG anti-virus data base out of date
    • by TarZ (28055) on 2009年01月06日 19時52分 (#1486371) 日記
      同じく、「このリストってどうやって作ったのでしょう」という疑問が。(つまり、大元のソースはどのように統計をとったのでしょう)
      親コメント
      • by kicchy (4711) on 2009年01月06日 20時24分 (#1486386)
        >同じく、「このリストってどうやって作ったのでしょう」という疑問が。
        >(つまり、大元のソースはどのように統計をとったのでしょう)

        「パスワードを教えていただけませんか?」

        と言ってチョコレートを渡した [srad.jp]だけではないかと。
        親コメント
    • もし実情を反映した数字なのだとしたら、意外と少ないですね。
      私の場合「管理者に文字列を知られる可能性がある場合」とか
      「アカウントを乗っ取られてもどこにもダメージがでない場合」には
      かなり安直な(しかも使い回しの)パスワードを使っちゃいます。
      # いや、必要な場所には「強いパスワード」使いますけどね
      --
      yp
      親コメント
  • yamaha, toyota, japan, hentai (スコア:2, おもしろおかしい)

    by kawa-t (37052) on 2009年01月06日 20時18分 (#1486385) 日記
    国名、都市名、ブランド名と日本関連のものを探してみたところ、

    76. corvette
    101. porsche
    124. dakota
    148. compaq
    157. ferrari
    161. chicago
    171. yamaha
    280. london
    378. toyota
    381. paris
    396. florida
    411. brazil
    413. japan
    462. hentai
    463. newyork

    hentaiがランクインしているのがちょっと驚き。
  • 日本の場合 (スコア:2, 興味深い)

    by Anonymous Coward on 2009年01月06日 21時32分 (#1486426)
    Windows95の時代、会社で数多くの人が使うPCから、pwlファイルを持って帰って、
    Cainという、辞書+総当りのソフトで解析した事があります。
    7割ぐらいが解析できました。
    普通の英単語が約1割、アルファベットの固有名詞が約1割。
    5割はローマ字、3.5割ぐらいはローマ字人名でした。
    (割合は、pwlファイル全体の割合)
    「覚えやすく、普通の英語の辞書に載ってない」と言うことで、ローマ字を選ぶ人が多いようです。

    #さすがにAC
  • 8675309 (スコア:2, 参考になる)

    by Ragen (11294) on 2009年01月06日 21時58分 (#1486442) 日記
    Jenny (867-5309) [youtube.com]
  • by Anonymous Coward on 2009年01月06日 19時46分 (#1486369)
    139位にncc1701を発見
  • by Anonymous Coward on 2009年01月06日 19時51分 (#1486370)
    以前ちょっと関わった携帯サイトでは、一番使われていたパスワードは
    「0000」でした。次が「1234」だったかな。

    # ナニなネタなのでAC
  • by kanina (16615) on 2009年01月06日 19時52分 (#1486374) 日記
    scott/tiger
  • 358位と365位が同じ「0」のようなんですが?
  • 意外とIDと同じ文字列がpassword になってるのが多かったりして(笑)

    --
    モデレータは基本役立たずなの気にしてないよ
  • by Tatenon (20311) on 2009年01月06日 21時54分 (#1486437) 日記
    私が他人に勧めることが多いのは、とても恥ずかしくて他人に知られたくないような秘密をパスワードにすること。

    【効能】
    訊かれてうっかり口走ることが無くなります。
    他人に知られたくないという気持ちが強くなり、セキュリティに対する意識が強くなります。

    【副作用】
    知られた瞬間に色々終わります。

    # や、終わっちゃダメだろ。
    ## 終わりたくなければそれなりの行動をするのだ。
  • by Cao (19143) on 2009年01月06日 21時57分 (#1486440)
    > 「8675309」のようになぜそれがよく使われるのかわからない

    携帯で入力しているからではなかろうか?
    実に左手親指で押しやすい。

    123
    456
    789
    *0#
  • by jacques (32858) on 2009年01月06日 22時28分 (#1486454) 日記
    Top 10 Most Common Passwords [modernlife...bish.co.uk]というのを
    以前自分のブログネタにしました。

    これでもTOPは"123"です。

    イギリスのデータなのでフットボールチーム名がちらほらありますが、
    日本の場合は野球チーム名とかも多いかもしれませんね。
    --
    puts "This user is a beginning Ruby programmer."
  • by warx (36578) on 2009年01月06日 23時50分 (#1486500) 日記
    いや、普通にエロくない?
    「入れて」って。

    #心にいつもIDを
typodupeerror

UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie

読み込み中...