よく使われるパスワード上位に、なぜか毎年「dragonドラゴン」。その理由は?

よく使われるパスワード上位に、なぜか毎年「ドラゴン」。その理由は?

毎年複数の企業が発表している「よく使われるパスワードランキング」。その上位に、「abc123」「123456」などと並んでほぼ毎回登場するのが「dragon(ドラゴン)」だ。なぜ人はこの架空の生き物をパスワードにするのか? さまざまなデータから、その理由を検証してみた。

セキュリティ企業のSplashDataは、2011年から毎年「よく使われるパスワードランキング」を発表している。リストの元となっているのは、漏洩したアカウント情報だ。

人間のパスワード設定のお粗末さを思い出させるために作成されるこのランキングには、常に「abc123」「123456」「letmein(わたしを入れて)」といった予想が簡単なパスワードがランクインしている。そんななか、ほぼ毎年登場し異彩を放っているひとつのパスワードがある──「dragon(ドラゴン)」だ。

なぜドラゴンなのだろう? ちょうどこのランキング創設と同じ年にはじまったテレビドラマ『ゲーム・オブ・スローンズ』が、人気を博したせいだろうか? それとも、テーブルトークRPG『ダンジョンズ&ドラゴンズ』のファンがやたらパスワードを盗まれたせいだろうか?

それも一因かもしれない。しかし、いちばん説得力のある説明は、おそらくあなたが思っているよりもシンプルなものだ。

理由のひとつは、データの出どころ?

研究者たちによるデータの検証方法も、パスワードのドラゴン人気に貢献した可能性がある。「dragon」という単語をパスワードに使っている人も数万人いるだろうが、そもそも研究対象となったパスワードの出どころにも若干の偏りがあるのだ。

研究者たちは、企業に「顧客のパスワード情報を教えて」などとお願いすることはできない。このため、彼らのデータはハッキングされ公に流出した情報に大きく依存している。

つまり、データの流出元サイトのセキュリティーが全体的に甘く、パスワードの設定条件も緩い可能性が高いのだ。

「複雑な設定条件を課すサイトからは、情報が流出しにくいのです」と、ローリー・フェイス・クレイナーは言う。彼女はカーネギーメロン大学のコンピューターサイエンティストで、8年にわたってパスワード設定について研究を続けている。

「ドラゴン」が人気なのは、ハッキングされたサイトがパスワードに数字や記号などを含めるようユーザーに求めていないことが多いからかもしれない。

「30代」「男性」という偏り

パスワードデータの流出元サイトは、結果に偏りを生じさせる可能もある。

たとえば、WP EngineはGmailのメールアドレスにひも付けられていたと思しきパスワード500万件を検証している。同社はメールアドレスから、ユーザーの性別と年齢を推定しようと試みた。「JohnDoe84@gmail.com」というメールアドレスの持ち主なら1984年生まれの男性と推定できる、といった具合だ。

この方法を使って、研究者たちはデータセットが1980年代生まれの男性のものに偏っていることを発見した。情報の多くがマッチングサイトの「イーハーモニー」やアダルトコンテンツサイトから来ているからだろう。

『ロード・オブ・ザ・リング』『ダンジョンズ&ドラゴンズ』『ゲーム・オブ・スローンズ』が30代男性に人気であることを考えると、データセットに「dragon」が頻繁に登場することも想像できるだろう。

2014年、バーネットはSplashDataのパスワードランキングの編集に携わっている。最初に結果を出したとき、彼は「lonen0」というパスワードがランキング7位と、異常によく使われていることに気がついた。

数万人が突如「lonen0」という文字列を思いついたわけではない。これは、ハッキングに遭ったベルギーのEASYPAY GROUPという企業のデフォルトパスワードだったのだ。ユーザーの1割が、デフォルトのパスワードを変更せずに使っていたのである。

解読もしやすい「dragon」

「dragon」がパスワードとして人気に見えるもうひとつの理由は、このパスワードが「123456」などと並んで“解読”しやすいことだ。

企業は自社がもっている情報をハッシュ化していることが多い。もし情報がハッカーの手にわたっても、サイトにアクセスしづらくなるようにだ。

ハッシュ化されたデータは、人間には解析できないランダムな文字列に見える。しかし、ハッシュ化のなかには脆弱なものもある。ハッカーはすべてのパスワードは割り出せないにしろ、スクリプトを使ってよく利用される一部のパスワードについては元の入力値を割り出すことができるのだ。

こうした偏りの可能性があるものの、クレイナーやバーネットといった研究者たちは自らのデータベースを細心の注意をもって構築している。これまでいくつものサイトがハッキングされてきたため、彼らのもとにはかなり安定したデータベースがある。

とはいえ、データの偏りやコントロール不足のため、ウェブ全体で「最も頻繁に利用される」パスワードを割り出す作業は本物の科学とは言えないだろうとバーネットは言う。

クレイナーの研究によると、「dragon」のようなパスワードが多く使われる理由は「マイケル」「ジェニファー」といったよくある名前や、「野球」のようによく好まれるアクティヴィティがパスワードによく使われる理由と同じだということを示している。

「人は自分が好きなものに関連するパスワードをつくることが多いのです。たとえば、『iloveyou(愛してる)』はどの言語においてももっともよく使われるパスワードのひとつです。

🍎たったひとつの真実見抜く、見た目は大人、頭脳は子供、その名は名馬鹿ヒカル!🍏