ブラウザ内で完結・送信なし
高強度パスワード生成ツール
暗号学的に安全な乱数を使い、用途に合わせたパスワード、パスフレーズ、PINを作成します。生成処理は端末内だけで行われ、入力値や生成結果はサーバーへ送信されません。
複数候補を一括生成
強度と推定探索時間を表示
紛らわしい文字の除外に対応
まず生成、必要なら右側で調整
現在の強度
評価中
使い方: 先頭候補をコピーして、登録先サービスとパスワードマネージャーの両方に保存してください。保存前に再生成すると前の候補は復元できません。
候補一覧
通常は「普段使い」または「重要アカウント」で十分です。入力欄が記号に弱いサービスでは「入力しやすい」か、括弧・引用符系の記号を避ける設定を使ってください。
パスワードの基礎と実務で使える判断基準
強いパスワードは「長く、使い回さない」
近年の推奨では、無理な複雑さよりも長さ、漏えい済みパスワードの回避、使い回し防止が重視されます。1つのサービスで漏れたパスワードを別サービスで試される「クレデンシャルスタッフィング」を防ぐため、重要なのは各サービスごとに別の文字列を使うことです。
普段使いは20文字以上を目安にする
英大小文字、数字、記号を混ぜた20文字前後のランダム文字列は、一般的なWebサービス用として十分に強力です。金融、管理者、メール、パスワードマネージャーのマスターキーは24文字以上、または5語以上の長いパスフレーズを推奨します。
覚える必要があるものはパスフレーズ
人間が覚える必要がある場合、短く複雑な文字列より、複数の単語をつないだ長いパスフレーズのほうが実用的です。ただし有名な文章、歌詞、会社名、誕生日、部署名、ペット名は避けてください。
定期変更より、漏えい時の即変更
理由のない定期変更は、利用者が安易な派生パターンを作る原因になります。変更すべきなのは、漏えいが疑われる時、共有してしまった時、端末を紛失した時、退職者や外部委託先の権限を整理する時です。
2要素認証とパスワードマネージャーを併用
強いパスワードだけで守るより、パスワードマネージャーで固有の長いパスワードを保存し、重要アカウントには2要素認証を有効にするほうが安全です。SMSよりも認証アプリ、可能ならパスキーやセキュリティキーがより強力です。
会社PCでは社内ルールを優先
会社アカウント、VPN、Microsoft 365、共有フォルダー、業務システムでは、文字種や長さに社内ポリシーがある場合があります。生成した文字列が通らない時は、記号セットを減らす、括弧を避ける、長さを調整する順で試してください。
公式・専門機関の考え方
- NIST SP 800-63Bは、利用者が作るパスワードでは最低長、漏えい済み・推測されやすい文字列の排除、過度な複雑性ルールの見直しを重視しています。
- CISAは、パスワードマネージャーの利用、長いパスフレーズ、多要素認証を強く推奨しています。
- OWASPは、Webサービス側の実装として、パスワードを平文保存せず、Argon2id、bcrypt、PBKDF2などの適応的ハッシュで保護することを推奨しています。
参考: NIST SP 800-63B / CISA Strong Passwords / OWASP Authentication Cheat Sheet
