taraiok 曰く、

過去に漏洩した10億を超える認証情報を元に分析したところ、未だに「123456」のパスワードが多く使われていることが分かった。この分析はコンピュータエンジニアリングの学生であるAtaHakçıl氏が先月実施したもの。さまざまな企業で発生したデータ侵害後、オンライン上に漏洩したユーザー名とパスワードの組み合わせを分析したという（ZDNet、分析に使われたデータセットなど、slashdot）。

同氏の分析結果によると、10億件以上のデータの中から重複していない一意のパスワードは「168,919,919」だけであったという。さらに700万以上が毎度おなじみの「123456」文字列であったとしている。パスワード長に関しては平均で9.48文字であったことも分かったという。ほとんどのセキュリティ専門家は、16〜 24文字以上の長いパスワードを使うことを推奨しているが、9.48文字はとくに少ないはいえないとしている。

別の発見はパスワードに使われている文字の種類だ。特殊文字を含むと解析されにくくなるが、こうした特殊文字を使用しているのは全体の12％ほどだったという。ほとんどの場合、ユーザーは文字のみ（29％）や数字のみ（13％）だけのパスワードを使用している。
つまり10億個のデータセットに含まれていたすべてのパスワードのうち、約42％が辞書攻撃に対して脆弱であることを意味している。