隣接したキーを組み合わせたパスワード、欧文キーボード配列別調査結果 17
ストーリー by headless
隣接 部門より
隣接 部門より
パスワード管理サービスの Specops Software が隣接したキーの組み合わせによるパスワードについて、よく使われるものを調査している
(Specops のブログ記事、
BetaNews の記事)。
キーボード上の隣接したキーを順に進んでいくパターンは「キーボードウォーク」パターンと呼ばれ、このパターンによるパスワードは弱いパスワードとして避けるべきとされる。しかし、「qwerty」が人気パスワードランキングの常連となっているように、入力しやすく覚えやすいため人気が高い。Specops では一般的なキーボードウォーク生成ツールを用い、欧文キーボードの代表的な 3 つの配列 (QWERTY/AZERTY/QWERTZ) のキーボードウォークパターンを生成。このうち 5 文字以上に限定し、8 億件の漏洩したパスワードデータのサブセットで確認したそうだ。
QWERTY 配列では「Qwerty」が最も多く、100 万回以上一致。以下「qwert」「werty」「asdfg」など、キーボードの 1 段を左から右に進むパターンが大半を占めるが、2 段にわたる「tress」「drews」「vbnhb」といったものもみられる。なお、「drews」は QWERTZ 配列でもトップ 10 入りしており、「tress」「vbnhb」はすべての配列でトップ 10 入りしている。
フランス語キーボードなどで使われる AZERTY 配列では「xcvbn」が 143,000 回以上で最も多く、この配列でのみキーボードウォークパターンとなる「azerty」「eezer」や、この配列では 2 段となる「asdfg」「asdfgh」といったものも含まれる。ドイツ語キーボードなどで使われる QWERTZ 配列では「qwert」が 140 万回以上で最も多く、この配列で入れ替えられている「Y」と「Z」をいずれか 1 つでも含むパスワードはなかったようだ。
各配列のトップ 10 に興味のある方は Specops のブログ記事を参照していただきたい。
キーボード上の隣接したキーを順に進んでいくパターンは「キーボードウォーク」パターンと呼ばれ、このパターンによるパスワードは弱いパスワードとして避けるべきとされる。しかし、「qwerty」が人気パスワードランキングの常連となっているように、入力しやすく覚えやすいため人気が高い。Specops では一般的なキーボードウォーク生成ツールを用い、欧文キーボードの代表的な 3 つの配列 (QWERTY/AZERTY/QWERTZ) のキーボードウォークパターンを生成。このうち 5 文字以上に限定し、8 億件の漏洩したパスワードデータのサブセットで確認したそうだ。
QWERTY 配列では「Qwerty」が最も多く、100 万回以上一致。以下「qwert」「werty」「asdfg」など、キーボードの 1 段を左から右に進むパターンが大半を占めるが、2 段にわたる「tress」「drews」「vbnhb」といったものもみられる。なお、「drews」は QWERTZ 配列でもトップ 10 入りしており、「tress」「vbnhb」はすべての配列でトップ 10 入りしている。
フランス語キーボードなどで使われる AZERTY 配列では「xcvbn」が 143,000 回以上で最も多く、この配列でのみキーボードウォークパターンとなる「azerty」「eezer」や、この配列では 2 段となる「asdfg」「asdfgh」といったものも含まれる。ドイツ語キーボードなどで使われる QWERTZ 配列では「qwert」が 140 万回以上で最も多く、この配列で入れ替えられている「Y」と「Z」をいずれか 1 つでも含むパスワードはなかったようだ。
各配列のトップ 10 に興味のある方は Specops のブログ記事を参照していただきたい。
根拠はないけど (スコア:2, すばらしい洞察)
日本ではqawsedrftgyhujikolpが一定数いそうな気がする
Re: (スコア:0)
上上下下右左右左
を hjkl に変換して。
たぶんWardstar派もいる。
Re:根拠はないけど (スコア:3, おもしろおかしい)
# rm -fr /
# shred /dev/sda
とかパスワードにするとドキドキできます
Re: (スコア:0)
Wordstar
Re: (スコア:0)
1qaz2wsx
をNGにするサイトは見かけますね
キーボードレス環境 (スコア:1)
スマホやタブレットが主流になるとこの辺のパスワードも廃れてゆくのかなと思ってた
キーボードに慣れ親しんだ人達が配列を覚えている限りまだまだ残るか
Re: (スコア:0)
英語圏の人がスマホで文字入力するときはキーボード配列使ってるのでは?
だから (スコア:1)
Dvorakキーボードを使えと...
キーボードウォークパターンのパスワードは数十から数百回の試行で破られる (スコア:1)
産総研インシデント報告書から
https://www.aist.go.jp/pdf/aist_j/topics/to2018/to20180720/20180720aist.pdf [aist.go.jp]
漢字等の多バイト文字が使えると (スコア:0)
セキュリティ強度は上がるだろうけど、
こんどはコード種類の問題ががが
# サニタイズで「きれい」にされたり
Re:漢字等の多バイト文字が使えると (スコア:1)
formの値を送るのに正規化するのかどうかとかはウェブの標準で決まってるのかな?
うちの会社、とち狂って日本語パスワードを入力しないとダメなシステムが導入されてるんだけど、試しにNFD正規化した濁音を登録しようとしたら入力エラーで蹴られた。
Safari辺りがある日突然正規化するようになったら使ってる人が全滅する。
Re: (スコア:0)
社内だったらSafari禁止でOK
Re: (スコア:0)
W3CはNFCを推奨したい雰囲気
https://www.w3.org/TR/charmod-norm/ [w3.org]
Re: (スコア:0)
顧客からもらったログイン情報が
unicodeの結合文字だったりしたら最悪だな
ふじこ (スコア:0)
ここまで
くぁwせdrftgyふじこ
無し
Re: (スコア:0)
#4499142にあるじゃん
数字と記号も必要な場合 (スコア:0)
5か6か7から始めて右もしくは右下へ移動し最後にEnterを押すパターンは以前の職場で使っていた
キーボード上を指一本走らせるだけで瞬時に入力完了する
今は流石にやっていないけど