強力なパスワードを生成する方法
多くの人は弱いパスワードを使っています。「123456」「password」「qwerty」は世界でもっとも一般的なパスワードランキングの常連です。短い、推測されやすい、使い回しているパスワードがあれば、それは脆弱です。
強いパスワードは不正アクセスに対する第一の防衛線です。
強いパスワードを作るもの
パスワードの強さは 2 つの要素で決まります:長さと予測不可能性です。
長さがもっとも重要です。大文字、小文字、数字を使った 12 文字のパスワードには 3 兆を超える組み合わせがあります。16 文字なら 47 京を超える組み合わせです。文字を 1 つ増やすたびに可能性は文字セットのサイズの倍数になり、ブルートフォース攻撃が指数関数的に遅くなります。
予測不可能性とはランダム性を意味します。辞書に載っている単語、人名、日付、パターン(「abc123」など)は攻撃者が最初に試すものです。k8#Pm2!xQz4@nR のような真にランダムなパスワードは、同じ長さの MyDogRex2024! よりずっと強いです。
パスワードジェネレーターの仕組み
ジェネレーターは、デバイスに組み込まれた暗号学的乱数生成器(ブラウザでは crypto.getRandomValues)を使ってランダムな文字列を作成します。これは暗号化が使うのと同じランダム性のソースで、予測可能な Math.random() ではありません。
あなたが選ぶのは:
- 長さ — 通常 12〜20 文字
- 文字種 — 大文字、小文字、数字、特殊文字
- 除外 — 必要なら、見た目の似た文字(
lと1、Oと0など)を除外できます
ジェネレーターはこれらのルールを組み合わせ、真にランダムなパスワードを生成します。
安全なパスワードを生成する方法
- 長さを設定 — アカウントの重要度に応じて 12〜20 文字を選びます。
- 文字種を選択 — 最大の強度を得るには大文字、小文字、数字、記号をすべて有効にします。
- 生成してコピー — 「生成」をクリックしてパスワードを作成し、パスワードマネージャーやサインアップフォームに直接コピーします。
パスワード管理のベストプラクティス
- アカウントごとに異なるパスワードを使う。あるサイトが侵害されても、他のアカウントは安全に保たれます。
- パスワードマネージャーを使う。16 文字のランダムなパスワードを何十個も覚えられる人はいません。Bitwarden(無料)、1Password、ブラウザ内蔵のマネージャーが安全に保管してくれます。
- 可能な限り 2 要素認証(2FA)を有効にする。パスワードが漏れても、2FA が 2 つ目の防御層を追加します。
- メール、SMS、メッセージでパスワードを共有しない。これらのチャネルは送信中も保管中も暗号化されていません。
- 漏洩を確認する。haveibeenpwned.com のようなサイトで、自分のメールアドレスが既知のデータ漏洩に含まれていないか確認できます。
よくある間違い
- パスワードの使い回し — もっとも危険な習慣です。一度の漏洩ですべてのアカウントが危険にさらされます。
- 個人情報 — ペットの名前、誕生日、住所は推測されやすく、SNS で見つかります。
- 単純な置き換え — 「a」を「@」に、「e」を「3」に置き換えても、最新のツールには通用しません。
- 短いパスワード — 10 文字未満なら、現代のハードウェアで数分で破られます。
- パターン — キーボード列(「qwertyuiop」)、繰り返し文字(「aaaa1111」)、連番(「abcd1234」)は最初に試されるものです。
よくある質問
パスワードはどのくらいの長さにすべきですか?
適切なセキュリティのために 12 文字以上、機密性の高いアカウントには 16 文字以上を使ってください。文字を増やすたびに、パスワードを破るのは指数関数的に難しくなります。
特殊文字を含めるべきですか?
はい。大文字(A〜Z)、小文字(a〜z)、数字(0〜9)、特殊文字(!@#$%^&*)を組み合わせると、攻撃者が推測すべき文字セットが広がり、強度が大幅に上がります。
パスワードジェネレーターは安全ですか?
ブラウザ内で動作するなら安全です。ブラウザ側のジェネレーターはデバイスの暗号学的乱数生成器を使用し、パスワードをサーバーに送信することはありません。
どれくらいの頻度でパスワードを変更すべきですか?
現在のガイドライン(NIST など)では、漏洩の証拠がある場合のみ変更し、定期スケジュールでは変更しないことを推奨しています。強制的な定期変更は、覚えやすい単純なものを選ばせて結果的に弱いパスワードを生むためです。