CreaTools LogoCreaTools
Tech Notes
Password Generator

生成したパスワードの管理方法|パスワードマネージャーと運用の正解

2025-12-15

結論:管理の正解

1. パスワードマネージャーを使う 2. サービスごとに別のパスワード 3. 重要アカウントは2FA併用 4. 定期変更は不要(漏洩時のみ変更)

強いパスワードを作っても、管理が雑なら意味がない。

絶対にやってはいけない管理

NG行為なぜダメか
付箋に書いてモニターに貼る誰でも見られる
全サービスで同じパスワード1つ漏れたら全滅
スプレッドシートに平文保存ファイル漏洩で全滅
メールで自分宛に送信メール漏洩で全滅
テキストファイルに保存ファイル漏洩で全滅

「覚えられないから使い回す」は最悪の選択。

パスワードマネージャーを使え

推奨ツール

ツール特徴価格
1Password使いやすさ重視有料
Bitwardenオープンソース無料プランあり
KeePassローカル管理無料
ブラウザ内蔵手軽、同期対応無料

パスワードマネージャーのメリット

  • サービスごとに違うパスワードを使える
  • 覚える必要がない(マスターパスワードのみ)
  • 自動入力で手入力ミスがなくなる
  • フィッシング対策(URLが違うと自動入力されない)

どれを選ぶか

条件推奨
迷ったらBitwarden(無料で十分)
使いやすさ重視1Password
ローカル管理したいKeePass
とりあえず始めたいブラウザ内蔵

マスターパスワードの作り方

パスワードマネージャーのマスターパスワードは、唯一自分で覚える必要がある

推奨:パスフレーズ

correct-horse-battery-staple
夕焼け-電車-コーヒー-猫

ランダムな単語を4〜6個並べる。

方式覚えやすさ強度
ランダム文字列xK9#mL2$困難
パスフレーズcorrect-horse-battery容易
意味のある文ILoveTokyo2024容易

パスフレーズは覚えやすく、エントロピーも高い。

マスターパスワードのルール

  • 20文字以上
  • どこにも書かない
  • 他で使い回さない
  • 忘れたら復旧不可能(だから覚えられるものを)

使い回しの危険性

何が起きるか

  1. サービスAでパスワードが漏洩
  2. 漏洩したメール・パスワードの組み合わせが出回る
  3. 攻撃者がサービスB、C、Dで同じ組み合わせを試す
  4. 同じパスワードを使っていたサービスがすべて侵害される

これを「クレデンシャルスタッフィング」と呼ぶ。自動化されており、漏洩から数分で試行される。

対策

サービスごとに異なるパスワードを使う。

パスワードマネージャーなら、100個のサービスで100個の異なるパスワードを管理できる。手間は変わらない。

定期変更は不要

現在の推奨

漏洩が疑われない限り、定期変更は不要。

理由

  • 頻繁な変更は弱いパスワードにつながる
  • 覚えられないからパターン化する(Password1!, Password2!...)
  • NISTガイドライン(米国標準)でも定期変更は非推奨

変更すべき時

状況アクション
サービスから漏洩通知即座に変更
不審なログイン通知即座に変更
退職者がいた(共有アカウント)即座に変更
「念のため」不要

2FA(2要素認証)併用

2FAの強度

方法強度備考
SMS認証SIMスワップ攻撃に弱い
認証アプリ(TOTP)Google Authenticator, Authy等
ハードウェアキーYubiKey等

設定すべきアカウント

優先度アカウント
最優先メール(他の復旧に使う)
金融、ECサイト、SNS
その他のサービス

メールアカウントは最優先。 他のサービスの「パスワードを忘れた」はメールで復旧するため。

漏洩確認方法

Have I Been Pwned

haveibeenpwned.com でメールアドレスを入力すると、過去の漏洩データベースに含まれているか確認できる。

漏洩していたら

  1. そのサービスのパスワードを即座に変更
  2. 同じパスワードを使っていた他のサービスも変更
  3. 2FAを設定(まだなら)

まとめ

判断正解
管理方法パスワードマネージャー
使い回し絶対にしない
定期変更不要(漏洩時のみ)
マスターパスワードパスフレーズ方式
2FA重要アカウントは必須
漏洩確認Have I Been Pwned

パスワードマネージャーを使わないなら、安全な管理は現実的に不可能。

関連記事