パスワードジェネレーター|安全なパスワード生成
暗号論的に安全なランダムパスワードを生成します。文字種・長さを自由に設定。
パスワードジェネレーター|安全なパスワード生成とは
暗号論的に安全なパスワードを即座に無料生成できるツールです。文字数(4〜64文字)・英大文字・小文字・数字・記号を自由に組み合わせ、エントロピーによる強度表示・文字構成バー・履歴機能を搭載。生成されたパスワードはすべてブラウザ内で処理され、サーバーには一切送信されません。
使い方
- 1スライダーを動かしてパスワードの文字数(4〜64文字)を選択してください。文字数が長いほどエントロピーが高まり、安全なパスワードになります。
- 2使用する文字種(英大文字・英小文字・数字・記号)をチェックで選択してください。「紛らわしい文字を除外」をオンにすると、0とO、1とlとIなど見分けにくい文字をプールから取り除けます。
- 3「再生成」ボタンをクリックするとパスワードが生成され、強度メーター・エントロピー値・文字構成が即座に更新されます。
- 4パスワード表示欄またはコピーアイコンをクリックしてクリップボードにコピーし、パスワードマネージャーや登録フォームに貼り付けてください。
メリット・特徴
- Web Crypto API(crypto.getRandomValues)を使った暗号論的に安全な乱数生成で、予測不可能なパスワードを作成
- エントロピー(bits)をリアルタイム計算し、弱い・普通・良好・非常に強いの4段階で強度を視覚的に表示
- 英大文字・小文字・数字・記号の割合を色分けした文字構成バーで確認でき、バランスの偏りを即座に把握
- 紛らわしい文字(0/O/l/1/I)の除外オプションで、手入力が必要な場面でも打ち間違いを防止
- 直近5件の履歴をクリップボードコピー可能なチップとして表示し、候補の比較や使い回しを防止
- 一括10件生成機能でパスワードの選択肢を一覧表示し、サービスごとに異なるパスワードを素早く用意
- 生成・送信・保存など一切のサーバー通信なし。完全にブラウザ内のみで動作するためプライバシーが守られる
安全なパスワードの条件
適切なパスワードを作成するには、いくつかの重要な要素を理解しておく必要があります。
文字数とエントロピーの関係
パスワードの強度は「文字プールのサイズ」と「文字数」の両方に依存します。エントロピーの計算式は log₂(プールサイズ) × 文字数 です。たとえば英大文字・小文字・数字・記号を含む約95文字のプールから16文字を選ぶ場合、エントロピーは約105 bitsとなり、現在のコンピューターで総当たりをかけても解読に天文学的な時間がかかります。短いパスワードは文字種を増やしても限界があるため、まず長さを確保することが最優先です。
避けるべきパスワードのパターン
辞書に載っている単語・名前・誕生日・電話番号などの個人情報を含むパスワードは、辞書攻撃やソーシャルエンジニアリングに弱く危険です。また「password」「123456」「qwerty」などのよく使われるパスワードは攻撃者のリストに必ず含まれています。キーボードの隣接キーを並べたパターン(「asdfgh」など)も同様に危険です。完全なランダム文字列を使うことが、これらすべての攻撃を防ぐ最善策です。
複数サービスでの使い回しの危険性
強力なパスワードを1つ作っても、複数のサービスで同じものを使い回すと、どれか1つのサービスでデータ漏洩が起きた瞬間にすべてのアカウントが危険にさらされます(クレデンシャルスタッフィング攻撃)。Have I Been Pwned などのサービスでは過去の漏洩データベースを確認できます。サービスごとに異なるパスワードを生成・管理することが不可欠です。
パスワード管理のベストプラクティス
安全なパスワードを生成した後、それを適切に管理することが同じくらい重要です。
パスワードマネージャーの活用
パスワードマネージャーは、すべてのパスワードを強力な暗号化(AES-256など)で保護したうえで、マスターパスワード1つでアクセスできるツールです。オープンソースで無料のBitwarden、クロスデバイス対応の1Password、ローカル管理のKeePassXCなどが代表的です。ブラウザ拡張機能と組み合わせることでパスワードの自動入力も可能になり、フィッシングサイトへの入力を防ぐ副次的な効果もあります。
多要素認証(MFA)との組み合わせ
どれだけ強力なパスワードでも、パスワード単体では漏洩した場合に無力です。TOTP(Google AuthenticatorやAuthyなど)や物理セキュリティキー(YubiKeyなど)を使った多要素認証を有効にすることで、万が一パスワードが盗まれても不正ログインを防げます。特に金融機関・メール・SNSなど重要なアカウントでは必ず設定してください。
パスワードの定期更新と漏洩チェック
以前は定期的なパスワード変更が推奨されていましたが、現在のセキュリティガイドライン(NIST SP 800-63B)では、漏洩の証拠がない限り不必要な定期変更は推奨されていません。むしろ Have I Been Pwned などで自分のメールアドレスを定期的にチェックし、漏洩が確認されたサービスのパスワードをすぐに変更することが重要です。
よくある質問(FAQ)
- 安全なパスワードに必要な長さはどのくらいですか?
- 一般的には16文字以上が推奨されます。英大文字・小文字・数字・記号をすべて含む16文字のパスワードは約95 bitsのエントロピーを持ち、現在のコンピューターでの総当たり攻撃に対して実質的に解読不可能です。重要なアカウント(金融・メール等)は20文字以上を推奨します。
- エントロピー(bits)とはどういう意味ですか?
- エントロピーはパスワードの「予測しにくさ」を数値化した指標です。計算式は「log₂(文字プール数) × 文字数」で求められます。たとえば記号込みの96文字プールから16文字を選ぶと約105 bits、数字のみの10文字プールから8文字だと約26.6 bitsになります。一般に40 bits未満は弱い、80 bits以上は非常に強いとされます。
- 記号なしのパスワードしか使えないサービスがあります
- 記号(!@#$…)のチェックを外すことで、英数字のみのパスワードを生成できます。その分エントロピーが下がるため、文字数を20文字以上に増やして強度を補うことをお勧めします。また「紛らわしい文字を除外」オプションと組み合わせることで、手入力しやすいパスワードも作れます。
- パスワードマネージャーは本当に必要ですか?
- はい、強く推奨します。人間の記憶力では複数サービスで異なる強力なパスワードを覚えるのは困難です。Bitwarden(無料・オープンソース)・1Password・Keepassなどのパスワードマネージャーを使うと、このツールで生成した強力なパスワードを安全に暗号化保存・自動入力できます。マスターパスワード1つだけを確実に覚えれば十分です。
- 生成したパスワードはサーバーに送られますか?
- 一切送信されません。このツールはブラウザのJavaScriptのみで動作し、生成処理・表示・コピーすべてがデバイス内で完結します。ネットワーク通信は発生しないため、生成したパスワードが外部に漏れるリスクはありません。
- Math.random()を使ったパスワードジェネレーターと何が違いますか?
- JavaScriptの Math.random() は暗号用途向けに設計されていないため、アルゴリズムの特性から出力が予測される可能性があります。このツールはブラウザ標準のWeb Crypto API(window.crypto.getRandomValues)を使用しており、OS由来の暗号論的に安全な乱数を利用しているため、攻撃者が出力を予測することは事実上不可能です。
不具合や動作がおかしい点を見つけたら教えてください。
不具合報告はこちら →