強いパスワードの条件は？

12文字以上・英大文字・英小文字・数字・記号（!@#$%など）をすべて含む・同じ文字や連続する文字の繰り返しを避けることが推奨されます。NIST（米国国立標準技術研究所）のガイドライン（SP 800-63B）では文字数を重視し、長い文字列ほど強いとされています。

パスワードがサーバーに送られることはありますか？

いいえ。このツールはブラウザ上のJavaScriptのみで動作し、入力内容はサーバーに一切送信されません。ネットワーク通信は発生しないため、実際に使用しているパスワードを入力しても安全です。

このツールで評価されたパスワードを使っても安全ですか？

強度評価はあくまで参考指標です。同じパスワードを複数サービスで使い回さず、サービスごとに異なるパスワードを使うことを推奨します。パスワードマネージャー（1Password・Bitwarden・KeePassなど）を使うと、強いパスワードを安全に管理できます。

「パスワードの安全性」チェックにはどんな項目がありますか？

評価項目は①12文字以上の長さ、②英大文字を含む、③英小文字を含む、④数字を含む、⑤記号（!@#$%&等）を含む、⑥同じ文字の繰り返しがない、⑦よく使われる単語・パターンでないこと、の7項目です。すべてクリアすると最高評価になります。

パスワードは何文字以上にすべきですか？

最低12文字以上を推奨します。NIST SP 800-63Bでは最低8文字としていますが、現在の計算機性能では短いパスワードはブルートフォース攻撃で解読されるリスクがあります。重要なアカウント（メール・銀行・SNS）は16文字以上を目安にしてください。

パスワードマネージャーはなぜ必要ですか？

人間が覚えられる強いパスワードには限界があります。パスワードマネージャーを使えば、サービスごとに異なる長くランダムなパスワードを生成・保存でき、覚える必要がありません。主要なパスワードマネージャー（Bitwarden・1Password・Dashlane等）はマスターパスワード1つで全パスワードを管理でき、フィッシング対策にも有効です。

ホーム
ツール一覧
パスワード強度チェッカー｜セキュリティ診断

lock

パスワード強度チェッカー｜セキュリティ診断

パスワードの強度を5段階でチェックし、改善アドバイスを表示します。

パスワード

🔒 パスワードをサーバーに送信しません。ブラウザ内のみで処理されます。

パスワードを入力すると強度を分析します。

パスワード強度チェッカー｜セキュリティ診断とは

パスワードの強度を5段階でリアルタイムチェックできる無料ツールです。文字数・大文字・小文字・数字・記号・繰り返しパターンなど7項目の評価基準で安全性を診断し、具体的な改善アドバイスをチェックリスト形式で表示します。入力したパスワードはサーバーに送信されません。

使い方

1チェックしたいパスワードを入力エリアに入力してください。
2リアルタイムで強度レベル（非常に弱い〜非常に強い）と改善チェックリストが表示されます。
3「表示」ボタンでパスワードの表示・非表示を切り替えられます。
4チェックリストの項目をすべてクリアすることで「非常に強い」評価のパスワードを設定できます。

メリット・特徴

パスワード強度を5段階（非常に弱い・弱い・普通・強い・非常に強い）でリアルタイム評価
長さ・英大文字・英小文字・数字・記号・繰り返し・辞書単語など7項目の評価基準
改善すべきポイントをチェックリスト形式で表示し、具体的な改善手順がわかる
入力はブラウザ内のJavaScriptのみで処理、サーバーに一切送信されない
登録不要・インストール不要の完全無料ツール
既存パスワードの確認・新規パスワード作成時の強度検証の両方に使える

パスワードの強度を決める要因と評価基準

パスワードの安全性は単純な「強い・弱い」ではなく、複数の要因によって決まります。このツールが使用する評価基準の背景にある考え方を理解することで、より安全なパスワード管理が実現できます。

文字数とエントロピーの関係

パスワードの強度を数学的に表す指標が「エントロピー」（ビット数）です。使える文字種数と文字数から計算されます。英小文字のみ（26種）8文字のエントロピーは約38ビット、英大小文字+数字+記号（約94種）16文字では約105ビットです。エントロピーが高いほど総当たり攻撃（ブルートフォース）に対して強くなります。NISTは最低64ビット以上のエントロピーを推奨しています。

よく使われるパスワードの危険性

「password」「123456」「qwerty」「admin」「iloveyou」などよく使われるパスワードはハッカーが最初に試みる辞書攻撃のリストに含まれています。Have I Been Pwned（haveibeenpwned.com）のデータベースには数十億件の流出パスワードが登録されており、これらは一瞬で突破されます。本ツールは一般的な辞書単語・パターン（連続数字・キーボードパターン等）を検出して評価に反映します。

多要素認証（MFA）とパスワードの関係

どれほど強いパスワードでも、フィッシング詐欺やデータ漏洩によって盗まれるリスクがあります。多要素認証（MFA/2FA）を有効にすることで、パスワードが漏洩してもアカウントへの不正アクセスを防げます。SMS認証よりも認証アプリ（Google Authenticator・Authy等）の方がセキュリティが高いため、可能な限り認証アプリの使用を推奨します。

パスワード管理のベストプラクティス

安全なパスワードを作るだけでなく、適切に管理することが重要です。現代のセキュリティ基準に基づいたパスワード管理の実践方法を解説します。

パスワードマネージャーの活用

パスワードマネージャーは複数サービスの強いパスワードを安全に管理するための必須ツールです。Bitwarden（無料・オープンソース）・1Password（有料・多機能）・KeePass（オフライン管理）などが代表的です。マスターパスワード1つを強く設定し、残りは長くランダムなパスワードをマネージャーに生成させることが理想的な運用です。

パスワードの使い回しを避ける理由

あるサービスのパスワードが漏洩した場合、同じパスワードを使っている他のサービスすべてに不正アクセスが試みられます（クレデンシャルスタッフィング攻撃）。2024年のデータ漏洩インシデントでは、この手口による二次被害が多数報告されています。すべてのサービスで異なるパスワードを使うことが、被害の連鎖を防ぐ最も効果的な対策です。

定期的なパスワード変更は本当に必要か

以前は「定期的なパスワード変更」が推奨されていましたが、NISTの最新ガイドライン（SP 800-63B）では「漏洩の証拠がない限り定期変更は不要」と方針が変わりました。理由は、頻繁に変更を求めるとユーザーが弱いパスワードを使いがちになるためです。代わりに「強いパスワード＋MFA」を維持しつつ、Have I Been Pwned等で自身のアドレスの漏洩を監視することが推奨されます。

よくある質問（FAQ）

強いパスワードの条件は？: 12文字以上・英大文字・英小文字・数字・記号（!@#$%など）をすべて含む・同じ文字や連続する文字の繰り返しを避けることが推奨されます。NIST（米国国立標準技術研究所）のガイドライン（SP 800-63B）では文字数を重視し、長い文字列ほど強いとされています。
パスワードがサーバーに送られることはありますか？: いいえ。このツールはブラウザ上のJavaScriptのみで動作し、入力内容はサーバーに一切送信されません。ネットワーク通信は発生しないため、実際に使用しているパスワードを入力しても安全です。
このツールで評価されたパスワードを使っても安全ですか？: 強度評価はあくまで参考指標です。同じパスワードを複数サービスで使い回さず、サービスごとに異なるパスワードを使うことを推奨します。パスワードマネージャー（1Password・Bitwarden・KeePassなど）を使うと、強いパスワードを安全に管理できます。
「パスワードの安全性」チェックにはどんな項目がありますか？: 評価項目は①12文字以上の長さ、②英大文字を含む、③英小文字を含む、④数字を含む、⑤記号（!@#$%&等）を含む、⑥同じ文字の繰り返しがない、⑦よく使われる単語・パターンでないこと、の7項目です。すべてクリアすると最高評価になります。
パスワードは何文字以上にすべきですか？: 最低12文字以上を推奨します。NIST SP 800-63Bでは最低8文字としていますが、現在の計算機性能では短いパスワードはブルートフォース攻撃で解読されるリスクがあります。重要なアカウント（メール・銀行・SNS）は16文字以上を目安にしてください。
パスワードマネージャーはなぜ必要ですか？: 人間が覚えられる強いパスワードには限界があります。パスワードマネージャーを使えば、サービスごとに異なる長くランダムなパスワードを生成・保存でき、覚える必要がありません。主要なパスワードマネージャー（Bitwarden・1Password・Dashlane等）はマスターパスワード1つで全パスワードを管理でき、フィッシング対策にも有効です。

bug_report

不具合や動作がおかしい点を見つけたら教えてください。

不具合報告はこちら →