当サイトはアフィリエイト広告および Google AdSense を利用しています

🔐 パスワード生成

crypto API による暗号学的乱数で安全なパスワードをブラウザ内で生成。文字種・長さを自由に設定し、強度判定付き。生成したパスワードはサーバーに送信されません。

⚙️ 設定

長さ: 16 文字

使用文字種

大文字 A-Z 小文字 a-z 数字 0-9 記号 !@#$…

オプション

似た文字を除外（0/O・1/l/I）紛らわしい記号を除外（{}[]()/\'"`~,;:.<>）各文字種を最低1文字ずつ含める

カスタム記号セット（記号有効時のみ）

🎲 生成結果

クリックして生成

強度: — — bit

履歴（最新10件）

まだ履歴がありません

コピーしました

📘 安全なパスワードを作るコツ

本ツールは crypto.getRandomValues() による暗号学的に安全な乱数を使用してパスワードを生成します。生成内容はブラウザ内に留まり、サーバーには送信されません。

パスワード強度の目安（エントロピー）

強度はエントロピー（情報量、bit）で表され、log₂(文字種数) × 文字数 で計算します。総当たり攻撃に必要な試行回数の理論値です。

長さ	英数字記号 (94種)	英数字 (62種)	判定
8文字	≈52 bit	≈48 bit	普通（オフライン攻撃に脆弱）
12文字	≈79 bit	≈71 bit	強
16文字	≈105 bit	≈95 bit	最強
20文字	≈131 bit	≈119 bit	最強（推奨）

推奨される使い方

サービスごとに別パスワードを使う（パスワード使い回しは厳禁）
長さ 16 文字以上、できれば 20 文字以上を選ぶ
2 段階認証（2FA）と併用する
パスワードマネージャーで保管する（1Password、Bitwarden、Apple Passwords 等）
ブラウザに残った履歴は閉じる前にクリアする

避けるべきパスワード

password123、qwerty、誕生日、ペット名、P@ssw0rd のような置換
過去に流出した情報（Have I Been Pwned で確認可能）
個人情報から推測可能なもの

🔒 パスワード戦略の現代的なベストプラクティス

近年のセキュリティガイドライン(NIST SP 800-63B、NCSC Password Guidance、内閣サイバーセキュリティセンター指針)では、従来の「複雑なパスワードを定期的に変更する」という方針が見直され、より科学的な指針が示されています。重要なポイントを整理しました。

① 長さ > 複雑さ

「数字+記号+大小英字」を混ぜることより、長さのほうが圧倒的に重要です。総当たり攻撃の試行回数は、文字数が1増えるごとに指数的に増加します。例えば「8文字 + 全種記号」より「16文字 + 英字のみ」のほうがはるかに強固です。覚えやすい長文(パスフレーズ)が、現代のベストプラクティスです。

② 定期変更は不要(漏洩時のみ変更)

かつては「3 ヶ月ごとに変更」が常識でしたが、現在の NIST ガイドラインでは「侵害が確認された場合のみ変更」を推奨。頻繁な変更は、ユーザーが類似の弱いパターン(Password1 → Password2 → ...)を作る原因となり、かえって安全性を下げると判明しています。

③ 使い回し厳禁

同じパスワードを複数サービスで使うのは最大のリスク。ひとつのサービスから漏洩すると、他のサービスでも「クレデンシャル・スタッフィング攻撃」(漏洩リストを使った自動ログイン試行)で被害が連鎖します。サービスごとに異なるパスワードを使うのが鉄則です。

④ パスワードマネージャーを使う

16 文字以上のランダム文字列を、サービスごとに数十〜数百個覚えるのは現実的に不可能。パスワードマネージャーは、強固なマスターパスワードひとつで全パスワードを管理する仕組みで、現代のセキュリティ運用には欠かせません。

1Password ── 老舗で UI が秀逸、家族・チーム共有も可能。月額制。
Bitwarden ── オープンソース・無料プランで個人利用は十分。同期機能も無料。
Apple パスワード ── iCloud 同期で iPhone・Mac・iPad で自動同期、無料。
Google パスワードマネージャー ── Chrome・Android で自動連携、無料。
KeePass ── 完全オフライン管理派向け、無料・オープンソース。

⑤ 二段階認証(2FA)を必ず設定

パスワードに加えて、もう一つの要素(SMS コード、認証アプリ、ハードウェアキー)を組み合わせる仕組み。万が一パスワードが漏れても、第二の壁があるためアカウント侵害を防げます。

認証アプリ(Google Authenticator、Authy、1Password など) ── SMS より安全
ハードウェアキー(YubiKey、Google Titan) ── 最強。フィッシング耐性あり
SMS コード ── 利便性高いが、SIM スワップ攻撃の被害を受けやすい
パスキー(Passkey) ── 2023 年以降普及中の次世代認証。生体認証 + 端末認証で実質的にパスワード不要

🛡️ 攻撃手法を知る — どんな攻撃から守るか

総当たり攻撃(ブルートフォース)

すべての可能な組み合わせを試す攻撃。文字数を増やすことで指数的に防御できます。8 文字英数字なら現代の GPU で数時間で破られますが、16 文字なら宇宙の年齢分の時間がかかります。

辞書攻撃

よくあるパスワード(password、123456、qwerty など)を順番に試す攻撃。本ツールが生成するランダム文字列なら防げますが、人間が考えたパスワードはこの攻撃に弱いことが多いです。

クレデンシャル・スタッフィング

過去の漏洩リストを使って、別サービスで同じ ID/パスワードを試す攻撃。パスワード使い回し対策で防げます。

フィッシング

偽サイトに誘導してパスワードを入力させる手口。ドメインを必ず確認、ブックマークから公式サイトを開く、二段階認証で防御。

キーロガー

マルウェアでキーボード入力を盗み取る攻撃。OS・ブラウザを最新版に保つ、不審なファイルを開かない、信頼できる端末からのみログインで対策。

ショルダーハッキング

背後からパスワード入力を覗き見する物理的な攻撃。カフェ・電車などで重要なログイン作業をしない、画面プライバシーフィルムを使うなどで対策。

SIM スワップ

携帯番号を乗っ取り、SMS の二段階認証を突破する高度な攻撃。重要アカウントは認証アプリ・ハードウェアキーで二段階認証を行う。

📝 パスフレーズ — 覚えやすくて強固

パスフレーズとは、ランダムな単語を数個組み合わせた長いパスワード(例:「correct horse battery staple」「コーヒー・本棚・27・ピアノ」)。覚えやすく、長く、推測されにくいという三拍子が揃っています。

強いパスフレーズの作り方

4 つ以上のランダムな単語を組み合わせる
意味のないつながりを意識(関連の薄い単語を選ぶ)
区切り文字や数字を1つ挿入
個人情報(家族の名前、職業)に関連する単語は避ける
有名な歌詞・諺・引用は避ける(辞書攻撃に弱い)

例:「青ぞう・コーヒー・34階・ピアノ」「Tokyo-pizza-87-cosmos」のような感じ。マスターパスワード(パスワードマネージャーの大元の鍵)に最適です。

⚠️ パスワード管理でよくある落とし穴

ブラウザの自動保存任せ ── 端末紛失時のリスクが高い。同期機能を使うかパスワードマネージャー併用が安全。
付箋にメモ ── オフィスや自宅でも他人の目に触れる可能性あり、論外。
テキストファイルで保存 ── マルウェア感染時に一網打尽、暗号化必須。
Excel に一覧化 ── ファイル共有・誤送信・クラウド漏洩のリスク。
「パスワードヒント」で答えが推測できる ── 母校名・ペット名は SNS から推測可能。
共有アカウントの放置 ── 退職者・元同僚・元パートナーの権限削除を忘れる。
初期パスワードのまま ── ルーター・IoT デバイスは必ず変更する。

🆕 パスキー(Passkey) — 次世代の認証技術

2023 年以降、Apple・Google・Microsoft などの大手が推進している「パスキー(Passkey)」は、パスワードの代替となる次世代認証技術です。FIDO2 / WebAuthn という標準規格に基づき、生体認証(指紋・顔)+ デバイス認証で本人確認を行います。

パスキーのメリット

パスワードを覚える必要がない(生体認証のみ)
フィッシング耐性が圧倒的に高い(偽サイトでは認証成立しない)
サーバーに認証情報が保存されないため、漏洩リスクなし
マルチデバイス対応(iCloud Keychain、Google パスワードマネージャー経由で同期)
導入企業が急増中(Google、Apple、Microsoft、Yahoo!、メルカリ、ヤマダ電機など)

パスキーが普及すれば、長期的にはパスワード自体が不要になる時代が来るかもしれません。現時点では、対応サービスではパスキー、未対応サービスでは強固なパスワード+2FA という運用が現実的です。

🔍 漏洩チェックの習慣を持とう

自分のメールアドレスやパスワードが過去にデータ漏洩していないか、定期的にチェックする習慣をおすすめします。

Have I Been Pwned ── メールアドレスや電話番号の漏洩履歴を無料でチェック
1Password、Bitwarden などのパスワードマネージャーには、自動漏洩チェック機能が搭載されている場合あり
Google Chrome の「パスワード診断」 ── 保存パスワードの漏洩チェック
Apple iCloud キーチェーン ── 漏洩・使い回し・脆弱なパスワードを警告

💡 漏洩が発覚したら即時行動 ── 該当サービスのパスワード変更、同じパスワードを使い回しているサービスも全て変更、二段階認証の有効化、不審なログイン履歴の確認、を即座に実施しましょう。

よくある質問

生成したパスワードはサーバーに送信されますか？

送信されません。本ツールはブラウザの crypto.getRandomValues() を使用して暗号学的に安全な乱数からパスワードを生成し、すべての処理はクライアントサイド（ブラウザ内）で完結します。

推奨されるパスワードの長さは？

現在のセキュリティ標準では、英数字＋記号で12文字以上、できれば16文字以上を推奨します。重要なアカウント（金融・メイン）は20文字以上が望ましく、本ツールの強度判定で「強」または「最強」になる長さを目安にしてください。

強度判定はどう計算されている？

エントロピー（情報量、bit）= log2(文字種数) × 文字数で計算しています。50bit未満を「弱」、50–80bitを「普通」、80–100bitを「強」、100bit以上を「最強」と判定。これは総当たり攻撃に対する強度の理論値です。

「似た文字を除外」とは？

0（数字のゼロ）と O（大文字オー）、1 と l（小文字エル）と I（大文字アイ）など、紙にメモする際に見間違えやすい文字を除外します。プリンタ印字や手入力する場合に有効です。

履歴はどこに保存される？

履歴は現在のブラウザタブのメモリ内のみに保存されます。ページを閉じる・更新すると消去され、サーバーや LocalStorage には保存されません。