パスワード管理ツールを提供するNordPassは、よく使われる上位200のパスワードランキングの2025年版を発表しました。2024年9月から2025年9月にかけて実施され、44カ国の漏えいデータやダークWebを対象にパスワードを収集して、ランキングを作成しています。
ランキングはこちら
上位には「123456」、「admin」、「12345678」、「password」など、おなじみの顔ぶれが並んでいます。
つまり、世界中で予測可能なパスワードが使われ続けているという現実は、今年も変わらなかったということになります。
なぜ、弱いパスワードは消えないのでしょうか。
理由はシンプルです。
・覚えやすい
・入力が楽
・急いでいる
・「自分は大丈夫」と思っている
しかし攻撃者は、この人間らしさを前提に動いています。
攻撃者は、ログイン画面で何回も何回もパスワードを試しているわけではありません。
攻撃のパスワード解析の流れは以下となります。
1) 企業やサービスに侵入する
2) ユーザー情報が保存されているデータベースを盗み出す
3) そこに含まれる「パスワードのハッシュ値」を取得する
4) 攻撃者の環境に持ち帰って、高性能PCやGPUで解析を行う
高性能PCやGPUを使い、1秒間に1,000万回ものパスワード試行を行うのです。
よく使われるパスワードを試し、「単語+123」など人間が作りがちな形式を決めて機械的に総当たりする方法などで高速で試行を繰り返しているだけです。
つまり、「パスワードを推測している」のではなく「計算で一致する答えを探している」だけです。
それでは、パスワードの桁数でどれくらい差が出るのでしょうか。
アルファベットのみの場合
8桁 → ほぼ瞬時
12桁 → 3週間
英大文字・小文字・数字・記号を含む場合
8桁 → 8時間
10桁 → 5年
12桁 → 34,000年
ここで分かるのは、「桁数+文字種」が安全性を決めるという極めてシンプルな法則です。
今回の2025年版ランキングが示すものは、「数字のみの連番パスワードの常連化」、「adminなど管理者系の使用」、「単語+数字パターンの増加」といった傾向です。
これは「少し工夫したつもり」のパスワードが、実は攻撃者の想定どおりであることを示しています。
パスワード問題は、個人の注意力の問題ではなく、設計としくみの問題です。
・パスワードマネージャーの導入
・多要素認証の標準化
・技術的強制(桁数・複雑性のポリシー)
・アカウントロックの設定
これらのことを組織が仕組みとして導入しているかどうかがポイントとなるのです。
弱いパスワードを使う人を責めるのではなく、弱いパスワードを使えない環境を作ることが組織としての判断になります。
結論:パスワードは組織でしくみで設計しよう!
プラスエス(+S)はお客様にさまざまな”S”を提供します。
Satisfaction、Solution、System、Support、Security、Smile & Sun
