パスワード問題の考察

こんにちは。情報コンサルタントの山田です。
今日はLeakedSourceが公開した駄目パスワードの記事に関して紹介します。
 
LeakedSourceから2013年6月に漏洩したとみられるMySpace.comのパスワードに関するデータが公開されました。
アカウント名とパスワードのリストは360,213,024行に及ぶものでした。（パスワードを変更したユーザもいるため360,213,024は「のべ数」となります）
360,213,024個のパスワードのうち、111,341,258個はアカウント名を含む文字列でした。
360,213,024個のパスワードのうち、68,493,651個は”password”にちなんだ文字列でした。そのまま”password”というアカウントも77,913個確認されています。
 
MySpace.comのパスワードで最も多かったのが”homelesspa”です。上位20傑は下記の通りです。

1位　homelesspa 855,478
2位　password1 585,503
3位　abc123 569,825
4位　123456 487,945
5位　myspace1 276,915
6位　123456a 244,641
7位　123456789 191,016
8位　a123456 165,132
9位　123abc 159,700
10位　(POSSIBLY INVALID) 158,462
11位　qwerty1 141,110
12位　passer2009 130,740
13位　fuckyou1 125,302
14位　iloveyou1 123,668
15位　princess1 114,107
16位　12345a 111,818
17位　monkey1 106,424
18位　football1 101,149
19位　babygirl1 90,685
20位　love123 88,756

安易なパスワードが破られやすいのは間違いないのですが、ここ最近はリスト型攻撃の脅威をケアすべきかもしれません。
漏洩したパスワードを入手して二次利用する手法は攻撃側にとってみても費用対効果が高いと感じます。
パスワードを定期的に変更することの有効性について、多少不毛に感じられるような議論が続いていますが、どうなのでしょうか。
多少推知されやすいパスワードであったとしても、利用するサービス毎にパスワードは変更する方が有効かもしれません。

一覧へ