世界で最も使われているパスワードは何ですか？

NordPass の年次調査によると、「123456」が 10 年以上にわたり 1 位を維持しています。キーボードの数字キーが左から順に並んでいること、多くのサービスの「最低 6 文字」要件への最短回答であることが主な理由です。

「P@ssw0rd」のような文字置換は安全ですか？

安全ではありません。a を @ に、o を 0 に置き換えるリートスピーク変換は、攻撃ツールに標準で組み込まれています。「password」の全変種は数分以内に試行されるため、解読時間はほとんど延びません。ランダムな文字列やパスフレーズを使いましょう。

パスフレーズとは何ですか？

パスフレーズは、4 つ以上のランダムな単語を組み合わせたパスワードです。たとえば「correct horse battery staple」のように、脈絡のない単語を並べます。ランダムな 8 文字のパスワードよりも強力で、かつ人間が覚えやすいという利点があります。パスワードマネージャーのマスターパスワードに最適です。

最悪パスワード殿堂入り - なぜ「123456」は永遠に 1 位なのか

この記事は約 12 分で読めます

毎年、セキュリティ企業が「最も使われているパスワード」ランキングを発表します。そして毎年、「123456」が堂々の 1 位に君臨し続けています。この記事では、世界の最悪パスワード殿堂入りメンバーを楽しく紹介しながら、なぜ人間は同じ過ちを繰り返すのか、国ごとの面白いパスワード傾向、そして本当に強いパスワードの作り方まで解説します。

結論 - 「123456」を使っている人は今すぐ変えよう

最悪パスワードランキングの常連たちに共通するのは、「短い」「予測可能」「使い回されている」の 3 点です。「123456」は 1 秒未満で突破され、「password」も辞書攻撃の最初の候補です。一方、ランダムな 16 文字以上のパスワードは、現在のコンピュータで解読するのに数億年かかります。パスワードマネージャーを使って、すべてのアカウントに固有の長いパスワードを設定するだけで、あなたのセキュリティは劇的に向上します。

なぜ「123456」は 10 年以上 1 位なのか

NordPass が毎年発表する「最も使われるパスワード」ランキングで、「123456」は 2013 年から 2025 年まで、ほぼ毎年 1 位を獲得しています。なぜこれほど根強いのでしょうか。理由は 3 つあります。第一に、キーボードの数字キーが左から順に並んでいるため、指が自然に動く配列だということ。第二に、多くのサービスが「最低 6 文字」というパスワード要件を設けており、「123456」はその最短回答になること。第三に、「とりあえず登録だけ」という心理で、後で変更するつもりが永遠にそのままになるパターンです。

2 位以下の顔ぶれも毎年ほぼ同じです。「password」「123456789」「qwerty」「abc123」- どれもキーボード配列をなぞっただけか、英単語そのままです。これらのパスワードは辞書攻撃の格好の標的です。

国別パスワード事情 - お国柄が丸見え

NordPass のデータには、国ごとの面白い傾向が表れています。ドイツでは「hallo」(こんにちは) や「passwort」(パスワードのドイツ語) が上位に入り、イタリアでは「juventus」(サッカークラブ) が常連です。日本では「sakura」や「takahiro」のような名前が多く、フランスでは「azerty」(フランス語キーボード配列) が定番。アメリカでは「baseball」「football」などスポーツ関連が目立ちます。

これが意味するのは、攻撃者は国や言語に合わせた辞書を用意しているということです。「sakura」は日本人にとって個人的なパスワードに思えるかもしれませんが、攻撃者の辞書には当然含まれています。自分の国で人気のある単語は、パスワードとしては最悪の選択肢なのです。

「P@ssw0rd」にしても無意味な理由

「password を P@ssw0rd にすれば安全でしょ？」- 残念ながら、まったく安全ではありません。この手の文字置換は「リートスピーク」(leet speak) と呼ばれ、a を @、o を 0、e を 3 に置き換えるパターンです。問題は、攻撃者がこのパターンを完全に把握していることです。現代のブルートフォース攻撃ツールには、リートスピークの変換ルールが組み込まれており、「password」の変種は数秒で全パターンが試行されます。

セキュリティ研究者の調査では、リートスピーク変換はパスワードの解読時間をほとんど延ばさないことが分かっています。「password」が 1 秒未満で解読されるのに対し、「P@ssw0rd」は数分程度。桁違いの差ではありません。本当に強いパスワードを作るには、予測不可能なランダム性が必要です。詳しくはパスワードのエントロピーの記事をご覧ください。

ブルートフォースで解読にかかる時間 - 衝撃の比較

パスワードの強度を実感するために、ブルートフォース (総当たり) 攻撃で解読にかかる推定時間を比較してみましょう。「123456」は 1 秒未満。「password」も 1 秒未満。「P@ssw0rd」は約 5 分。「MyDog$Name2024」のような個人情報ベースのパスワードは数時間から数日。一方、ランダムに生成された 16 文字のパスワード (大小英字・数字・記号の混合) は、現在最速のコンピュータでも数億年かかります。

この差は文字数と文字種の組み合わせ数 (エントロピー) から生まれます。6 桁の数字だけなら 100 万通りですが、16 文字の英数字記号なら約 10 の 30 乗通り。桁違いどころか、宇宙の年齢を超えるスケールの差です。

有名人のパスワード失敗談

パスワードの失敗は一般人だけの問題ではありません。2016 年、Facebook の CEO マーク・ザッカーバーグの LinkedIn パスワードが流出し、それが「dadada」だったことが判明しました。しかも同じパスワードを Twitter と Pinterest でも使い回していたため、両方のアカウントが乗っ取られました。世界最大の SNS を運営する人物がパスワードの使い回しの犠牲になったのです。

もう一つの有名な事例は、2020 年のドナルド・トランプ前大統領です。オランダのセキュリティ研究者 Victor Gevers が、トランプの Twitter アカウントのパスワードが「maga2020!」だったと主張し、5 回目の試行でログインに成功したと報告しました。しかも二段階認証が設定されていなかったとのこと。世界で最も注目される人物のアカウントが、推測可能なスローガンで守られていたという衝撃的な話です。

これらの話が証明しているのは、誰もがパスワードの悪習慣から無縁ではないということです。解決策は全員共通です。パスワードマネージャーを使い、ランダムなパスワードを生成し、すべてのアカウントで二段階認証を有効にしましょう。

「良いパスワード」の楽しい作り方 - パスフレーズのすすめ

ランダムな文字列は確かに強力ですが、覚えられないのが難点です。そこでおすすめなのがパスフレーズ方式。4 つ以上のランダムな単語を組み合わせて 1 つのパスワードにする方法です。たとえば「correct horse battery staple」(正しい馬電池ホチキス) は、ランダムな 8 文字のパスワードよりもはるかに強力で、しかも覚えやすいのです。

ポイントは「ランダムな」単語であること。「I love my dog」のような意味のある文は辞書攻撃に弱いですが、「紫掃除機木星納豆」のように脈絡のない単語の組み合わせは非常に強力です。パスワードマネージャーのマスターパスワードなど、どうしても自分で覚える必要があるパスワードには、このパスフレーズ方式が最適です。パスワードの強度を数学的に理解するには安全なパスワードの作り方ガイドをご覧ください。

セキュリティの基礎をもっと学ぶなら、セキュリティ関連の書籍 (Amazon)も参考になります。

よくある質問

世界で最も使われているパスワードは何ですか？: NordPass の年次調査によると、「123456」が 10 年以上にわたり 1 位を維持しています。キーボードの数字キーが左から順に並んでいること、多くのサービスの「最低 6 文字」要件への最短回答であることが主な理由です。
「P@ssw0rd」のような文字置換は安全ですか？: 安全ではありません。a を @ に、o を 0 に置き換えるリートスピーク変換は、攻撃ツールに標準で組み込まれています。「password」の全変種は数分以内に試行されるため、解読時間はほとんど延びません。ランダムな文字列やパスフレーズを使いましょう。
パスフレーズとは何ですか？: パスフレーズは、4 つ以上のランダムな単語を組み合わせたパスワードです。たとえば「correct horse battery staple」のように、脈絡のない単語を並べます。ランダムな 8 文字のパスワードよりも強力で、かつ人間が覚えやすいという利点があります。パスワードマネージャーのマスターパスワードに最適です。

パスワードを生成する →