- 祝祭テーマのパスワードが漏洩データを支配し、予測可能な習慣が繰り返されていることを示している
- 季節の単語が攻撃で繰り返し使われるのは、ユーザーが単純な記憶に頼っているため
- 現代のパスワードクラッキングツールは、よく知られた繰り返しの構造のため、祝祭用語を簡単に処理できる
8億件の漏洩した認証情報の分析により、多くのユーザーが新しいパスワードを作成する際に祝祭のアイデアに頼るという明確な傾向が示されました。
このデータセットには、シンプルな季節の単語から文字の置き換えを含むバージョンまで、何十万もの祝祭テーマのエントリーが含まれていました。
Specopssoftのレポートによると、複雑に見えるパスワードでさえ、現代のクラッキングツールが数秒で処理できるおなじみの語根に頼っていることが多いと指摘しています。
なぜ祝祭テーマのパスワードは失敗するのか
現代のパスワードクラッキングツールは膨大な辞書を走査し、予測可能な置き換えを適用できるため、一見創造的な季節の文字列も見た目ほど強力ではありません。
この調査では、季節のインスピレーションに関連する約75万件のエントリーが特定され、ユーザーがパスワード作成時に祝祭テーマに頼ることがいかに一般的かが明らかになりました。
これらの文字列の多くは2024年末またはそれ以前に作成されたとみられ、同様のパターンが現在の攻撃トラフィックにもすでに流通しています。
短いテーマ単語がデータセット全体で繰り返し現れており、人々が今なお記憶しやすいものを選ぶ傾向があることが確認されました。
これらの単語を記号や数字で修正しても、根本的な構造は現代のクラッキングツールにとって予測可能なままです。
攻撃者はこれらの傾向を追跡し、大規模なクレデンシャルスタッフィング攻撃に取り入れています。繰り返される季節用語が彼らの仕事を容易にするからです。
ユーザーが年末の強制リセットに直面すると、記憶しやすく手早いと感じる季節の単語を選びがちです。
こうした選択は一貫したパターンを生み出し、特にリセットサイクルがピークとなる第4四半期や1月初旬に攻撃者が予測しやすくなります。
このタイミングは攻撃者に予測可能なウィンドウを与え、これらの用語の再利用がクレデンシャルスタッフィングをさらに容易にします。
パスワードの使い回しもリスクを高めます。なぜなら、無関係なサービスでの漏洩が、企業アカウントをほぼ即座に危険にさらす可能性があるからです。
パスワードマネージャーは、100以上の異なるサービスで多数のログイン情報を管理する人々の負担を軽減できます。
多くのユーザーが複数の文字列を覚えるのが難しいため、なじみのあるテーマに頼りがちで、季節のアイデアが便利に感じられます。
残念ながら、攻撃者はこうしたパターンを熟知していますが、ビジネス用パスワードマネージャーや専用のパスワードジェネレーターを使えば、より強力なデフォルトの組み合わせを設定するのに役立ちます。
予測可能な祝祭用語を信頼するのは無害に感じるかもしれませんが、データは攻撃者がすでにそれらを考慮に入れていることを示しています。
