Scribble at 2026-05-12 19:28:59 Last modified: 2026-05-12 19:30:52
Passwords remain the most widely used authentication method and play a critical role in maintaining practical security. Previous research has highlighted the influence of linguistic factors on the strength of user-created passwords, demonstrating that evaluating passwords created by users speaking languages other than English requires specific contextual knowledge. Despite this, no prior studies have specifically investigated the passwords of Japanese users. This paper presents the first study of the characteristics of Japanese user-created passwords across websites offering five types of services. Using a dataset of 48.5 million real-world leaked passwords, we conduct a comprehensive analysis of various aspects of password behavior. Our findings reveal several unique characteristics of Japanese web passwords. For instance, Japanese passwords exhibit greater dispersion compared to those of English and Chinese users, with keyboard-walk patterns being particularly prevalent among the most frequently used passwords. To address these findings, we propose a suggestion for helping users improve their password selection strategies. The experimental results demonstrate that the suggestion led to 82.15% and 93.88% of passwords being strengthened as evaluated by two effective PSMs, and reduced the cracking success rate of PCFG-guesser by up to 56.12%.
この論文は、色々なサービスから流出したとされる4,850万件のパスワードから、日本のドメインに紐づくものを抽出して分析した、日本のユーザ(もちろん「日本人」である必要はない)の特性に関する初めての大規模な調査だ。ややこしいが、この分析対象として想定されるユーザを「日本ユーザ」と呼んでおく。
日本ユーザのパスワードには、英語圏や中国圏のユーザと比較して「分散度(dispersion)」が高いという際立った特徴があるという。これは、特定の少数のパスワードにパターンが集中しにくいことを意味していて、例えば上位10種類のパスワードが全体に占める割合は平均1.35%に過ぎず、これは中国圏(6.78〜10.44%)などと比べてもかなり低い数値となっている。分散度が低いと、相当な割合の人が同じようなパスワードを設定してしまうことになるわけだ。文字の使い方の傾向としては、小文字と数字を組み合わせるパターンが最も一般的で、全体の90%以上が小文字のみ、数字のみ、あるいはその両方の組み合わせで構成されている。個別の文字では、母音である "a, i, u, e, o" の頻度が高く、特に "a" が最も多く使われている。記号については、システムから強制されない限り使わない傾向が強く、利用率は1.5%未満と極めて低いのが現状だ。使われる場合も、ハイフン (-)、ピリオド (.)、アンダースコア (_)の3つに偏っている。また、日本ユーザのパスワードで特に注目すべきは「キーボード・ウォーク(keyboard-walk)」というパターンがあることだ。これは、キーボード上の隣接するキーを順番になぞるように入力するもので、上位頻出パスワードの多くにこのパターンが含まれている。興味深いことに、日本ユーザはキーボードの左半分のキーを使ってこのパターンを作る傾向があるという。これは、マウスを右手で操作しながら左手でパスワードを入力する習慣や、キーボード左側のキーのサイズが安定していることが理由だと推測されている。 セキュリティ向上のための具体的な対策として、この研究では「キーボード・ウォークを逆順にする」というシンプルな方法を提案している。そして実験してみると、この対策を適用するだけでパスワードの強度が大幅に向上し、最先端のパスワード推測ツールによる解読成功率を最大56.12%も減少させることが証明されたという。記憶のしやすさを維持しつつ、攻撃者からの推測を困難にする実用的なアプローチと言える。
実は、僕も左手だけで入力できる文字列でパスワードを使っていたことがある。そして、その理由は「キーのサイズが安定していること」ではなく、もっと単純だ。つまり、キーを打ち間違えたときに、右側だと ENTER キーを誤って叩いてしまったら即座に(入力ミスどころか)認証エラーになるからだ。