Password Generator
安全なパスワードの作り方完全ガイド|長さ・文字種・用途別の正解
2025-12-09
結論:安全なパスワードの最低ライン
長さ: 16文字以上 文字種: 英大文字・小文字・数字・記号 ルール: サービスごとに別のパスワード
これが2025年時点の正解。議論の余地はない。
パスワード生成は Password Generator で。この記事は「何を守れば安全か」の判断基準だけ。
即決チェックリスト
生成時
- 16文字以上か
- 英大文字・小文字・数字・記号すべて含むか
- ランダム生成か(自分で考えていないか)
運用時
- サービスごとに別のパスワードか
- パスワードマネージャーで管理しているか
- 重要アカウントは2FA併用か
用途別の最低ライン
迷ったら「重要アカウント」の基準を使え。
| 用途 | 最低文字数 | 文字種 | 備考 |
|---|---|---|---|
| SNS・一般サービス | 12文字 | 全種 | これが最低ライン |
| 重要アカウント | 16文字 | 全種 | メール、金融、ECサイト |
| 管理者・サーバー | 24文字 | 全種 | SSH、データベース、管理画面 |
| APIキー・トークン | 32文字 | 英数 | 記号はエスケープ問題があるため除外可 |
| 手入力前提 | 16文字 | 英数 | 紛らわしい文字(0OIl1)除外 |
12文字未満は論外
8文字のパスワードは、現代のハードウェアで数時間〜数日で総当たり可能。
「8文字で十分」は過去の話。
なぜこの条件か
長さが最重要
| パスワード | 文字数 | 文字種 | 強度 |
|---|---|---|---|
aB3! | 4 | 4種類 | 弱い |
abcdefghijklmno | 15 | 1種類 | 強い |
4種類使っても4文字では弱い。1種類でも15文字なら強い。
長さ > 文字種
記号は必須か?
必須。 ただし以下の場合は除外可:
- サービスが記号禁止
- APIキー・環境変数で使う
- 手入力で伝える
記号を除外する場合は、長さで補う(+4文字以上)。
サービスごとに別が必須な理由
1つのサービスでパスワードが漏洩すると:
- 漏洩したメール・パスワードの組み合わせが出回る
- 攻撃者が他のサービスで試す(クレデンシャルスタッフィング)
- 同じパスワードを使っていたサービスがすべて侵害される
使い回しは「1つ漏れたら全部漏れる」状態。
ダメなパスワードの例
絶対にやってはいけない
| パスワード | 問題 |
|---|---|
password123 | 辞書攻撃で即破られる |
Tanaka1985 | 個人情報から推測可能 |
qwerty!@# | キーボードパターン |
P@ssw0rd | 定番の置換パターン |
| 同じものを複数サービスで | 1つ漏れたら全滅 |
ランダム生成なら安全
自分で考えたパスワードは、無意識にパターンが入る。
ランダム生成したパスワードは、辞書攻撃・パターン攻撃に強い。
文字種の選び方
基本は全種使う
| 種類 | 文字数 | 効果 |
|---|---|---|
| 大文字 | 26 | 文字集合+26 |
| 小文字 | 26 | 文字集合+26 |
| 数字 | 10 | 文字集合+10 |
| 記号 | 約30 | 文字集合+30 |
全部使うと90文字以上の文字集合。同じ長さでもエントロピーが大幅に上がる。
紛らわしい文字の除外
手入力が必要な場合のみ、以下を除外:
| 除外文字 | 理由 |
|---|---|
0 と O | 区別しにくい |
1 と l と I | 区別しにくい |
パスワードマネージャーでコピペするなら除外不要。
このツールのセキュリティ
暗号学的に安全な乱数
// このツールが使う方式(安全)
crypto.getRandomValues(array);
// 使っていない方式(危険)
Math.random();
Math.random() は予測可能。このツールは Web Crypto API を使用。予測は不可能。
ブラウザ完結
- パスワードはサーバーに送信されない
- ネットワークを切断しても動作
- 開発者ツールで検証可能
管理方法
詳細は 生成したパスワードの管理方法 を参照。
パスワードマネージャーを使え
| ツール | 特徴 |
|---|---|
| 1Password | 使いやすさ重視、有料 |
| Bitwarden | オープンソース、無料プランあり |
| KeePass | ローカル管理、無料 |
パスワードマネージャーを使わないなら、サービスごとに別のパスワードは現実的に無理。
定期変更は不要
- 漏洩が疑われない限り、定期変更は不要
- 頻繁な変更は弱いパスワードにつながる
- NISTガイドラインでも非推奨
変更すべき時: 漏洩通知、不審なログイン、退職者がいた時
2FA併用
重要アカウントには必ず2FAを設定。
| 方法 | 強度 |
|---|---|
| SMS認証 | 低(SIMスワップ攻撃に弱い) |
| 認証アプリ | 中 |
| ハードウェアキー | 高 |
まとめ
| 判断 | 正解 |
|---|---|
| 長さ | 16文字以上 |
| 文字種 | 英大小+数字+記号 |
| 使い回し | 絶対にしない |
| 生成方法 | ランダム生成 |
| 管理 | パスワードマネージャー |
| 2FA | 重要アカウントは必須 |
12文字未満、使い回し、自分で考えたパスワードは、すべて危険。
関連記事
- 生成したパスワードの管理方法 — パスワードマネージャーと運用