再利用や共有、パターンなどが複雑なパスワードを台無しにする

headless 曰く、　過去にLinkedInから流出したパスワードについてセキュリティ企業Preemptが調査したところ、約35%にあたる63,588,381件が既にパスワードクラック用の辞書に含まれるものだったそうだ（Preemptのブログ、BetaNews）。

　Preemptでは具体的な流出時期などを明記していないが、件数からみて2012年に発生したLinkedInの情報流出に伴って取得され、昨年5月に1億6,700万件が販売されていると報じられたアカウント情報のようだ。

　パスワードクラック用の辞書に載っているのであれば、パスワードの複雑さは意味をなさない。パスワードを再利用する人も多いため、過去に流出したパスワードを再度設定してしまう可能性もある。組織内のシステムではパスワードの有効期限が無効化されていることも多く、複数のユーザーがパスワードを共有したり、そのパスワードを外部サービスに設定したりすることで、パスワードが流出する可能性や、既に流出しているパスワードを使用する可能性が増す。

　また、パスワードには大文字小文字の英字と記号、数字（ULSD）を組み合わせることが推奨されるが、大文字から始めて数字で終わるといったパターンが多くのパスワードで使われているという。個人的なデータや日常的に使われる単語を含める人も多い。そのため、企業内のパスワードの大半は、上位100パターンでクラックできるものが多いそうだ。

　Preemptの調査によれば、特にセキュリティに注力している組織を除き、90%以上の組織が8桁よりも長いパスワードを要求せず、10桁以内のパスワードが多く使われているとのこと。標準的なハードウェアでULSDを組み合わせた10桁のパスワードをクラックするのに要する時間は、よくあるパターンを使ったものでは1週間以内なのに対し、よくあるパターンを避けたものでは1か月近くかかるとのことだ。

　スラドのコメントを読む | セキュリティセクション | セキュリティ | 情報漏洩

　関連ストーリー：
GitHubで「remove password」というコミットを検索するとパスワードらしきものが大量に見つかる 2017年02月17日
「最もよく使われているパスワード」、2016年調査でもトップは「123456」 2017年01月19日
オンラインに流出した電子メールパスワードの半数近くがユーザーの名前を含むという調査結果 2016年12月10日
LinkedInから650万件のパスワードが漏洩か 2012年06月07日