安全なパスワードの作り方
パスワード強度を決める3つの要素
パスワードの強さは「文字数」「使用文字種の幅」「予測可能性の低さ」という3つの要素で決まる。文字数が長いほど解読に必要な計算量は指数関数的に増加し、大文字・小文字・数字・記号を組み合わせるほど一文字あたりの選択肢が広がる。一方、辞書に載っている単語や生年月日を含むパスワードは、たとえ16文字あっても辞書攻撃と組み合わせ推測で数秒以内に破られてしまう。本ツールはこの3要素を総合的に分析し、現実的な強度を判定している。
エントロピーで読み解くパスワード強度
本ツールが算出する「エントロピー(単位: bit)」は、総当たり攻撃でパスワードを解読するために必要な平均試行回数を対数で表した値だ。一般的な目安として、40bit未満は数時間〜数日で突破されてしまう弱い領域、60bit以上はオンラインサービスのアカウント保護に十分な中強度、80bit以上は長期保管を想定した暗号化アーカイブにも安心して使える高強度とされる。エントロピーは長さと文字種から算出されるが、辞書単語や繰り返しパターンが含まれていると実効値が大幅に下がる点に注意が必要だ。
「解読時間」表示の落とし穴
本ツールでは毎秒100億回試行を想定した解読時間を表示しているが、これはあくまで「ランダムなパスワードが純粋な総当たり攻撃を受けた場合」の理論値だ。現実の攻撃では、過去に漏洩したパスワードリストとの照合、辞書ベースの推測、人間が好む構造の優先試行などが行われ、表示時間よりはるかに早く破られる場合がある。「100年かかる」と表示されても、別サイトで使い回していて漏洩していれば即座に突破される。表示時間は楽観的な上限値として捉えるべきだ。
パスフレーズという覚えやすい選択肢
覚えやすさと強度を両立したいなら、ランダム文字列ではなく「単語を4〜6個つなげたパスフレーズ」が有力な選択肢になる。たとえば「青空-鯨-給湯器-折りたたみ」のように関係のない名詞を組み合わせると、文字数が長くなる分エントロピーが高くなり、なおかつ人間が記憶しやすい。米国NISTのパスワードガイドラインでも、複雑なルールよりパスフレーズ方式が推奨されている。本ツールの入力欄でパスフレーズを試して、ランダム文字列との強度差を比較してみてほしい。
パスワード再利用の致命的なリスク
どれだけ強いパスワードを作っても、複数のサービスで使い回すと一箇所の漏洩で全アカウントが危険にさらされる。攻撃者は流出データベースから取得したメール+パスワードの組み合わせを、銀行・SNS・ECサイトなどに自動で試す「クレデンシャルスタッフィング攻撃」を日常的に実行している。本サイトの漏洩チェッカーで自分のメールアドレスが過去の流出に含まれていないか確認すること、そしてサービスごとに異なるパスワードを設定することが事実上の必須対策だ。
2026年に推奨される実践的な基準
現在のセキュリティ業界の合意として、最低14文字以上、4種類の文字種(大文字・小文字・数字・記号)を使い、辞書単語や個人情報を含まず、サービスごとに完全に異なるパスワードを設定することが推奨されている。これを人間の記憶だけで運用するのは現実的ではないため、パスワードマネージャー(NordPass、1Password、Bitwardenなど)の併用が事実上必須となっている。本ツールで現在のパスワードを診断したあとは、結果を踏まえて運用方法そのものを見直すきっかけにしてほしい。