2019 年 9 月 4 日 Trevor Collins 著

CorrectHorseBatteryStaple をパスワードに使っている方は、この話を聞くと、すぐに変更したいと思うかもしれません。セキュリティ研究者の Troy Hunt 氏が今週、XKCD フォーラムのデータベースが誰かに攻撃されたことを明らかにしました。攻撃者がそのデータベースを公開し、ユーザ名、メールアドレス、ハッシュされたパスワードが明らかになりました。皮肉とも言えるのは、Randall Munroe 氏による漫画サイトである XKCD が、テクノロジや IT について面白おかしく描くものであることでしょう。同サイトに掲載されているある漫画に、「CorrectHorseBatteryStaple」が良いパスワードの例として登場としていますが、これはあくまでも 1 つの例であり、実際にこのパスワードが使われることは想定されていませんでした。

我々は、流出したこのデータベースを手に入れることができました。ほとんどのパスワードが MD5 phpbb3 を使っていましたが、単純な MD5 や Bcrypt を使っているものもありました。現在、約半分のパスワードが解読され、これらの解読されたパスワードを調べてみたところ、いくつかの興味深い事実が明らかになりました。

• 13 人が CorrectHorseBatteryStaple をパスワードとして使っていた（このパスワードを使っている人が実際にいることが確認された）
• 1,911 人のユーザが 123456789 を使っていた
• 1,655 人のユーザが abcdef123 を使っていた

多くのボットに、こういったフォーラムの多数のユーザが参加しているものと思われます。使われることが多い上位 20 のパスワードの多くは、一般的に使われることが多いパスワードと一致するものではなく、誰かがすぐに思いつきそうなパスワードのようでもありません。ボットは通常、「3rJs1la7qE」といったパスワードを使用しますが、このパスワードのレコードが 6,200 件、見つかりました。

XKCD フォーラムのユーザの方は、パスワードを変更し、他でも同じパスワードを使っている場合は、それらのサイトでもパスワードを変更する必要があるでしょう。このサイトの漫画でも指摘されているように、パスワードの作成にあたっては、あまり一般的ではない語をフレーズにして使うようお勧めします。そうすることで、パスワードをはるかに簡単に記憶できるようになり、安全性も高まります。辞書攻撃が容易になると主張する人もいますが、よく使われる単語が含まれない 4 つの語で構成されるパスワードを辞書攻撃で解読するには、実用に耐えないほどの長い時間がかかります。