安全なパスワードの長さは何文字以上ですか？

最低 12 文字、推奨 16 文字以上です。NIST のガイドラインでは 8 文字以上を最低基準としていますが、現在のセキュリティ専門家の間では 16 文字以上が共通認識です。

パスワードに記号を入れれば安全ですか？

記号を追加するだけでは不十分です。「password1!」のように末尾に記号を付けただけのパスワードは辞書攻撃で容易に突破されます。重要なのはパスワード全体のランダム性です。

パスワード生成ツールで作ったパスワードは覚えられません。どうすればいいですか？

パスワードマネージャーの利用を推奨します。マスターパスワード 1 つだけを覚えれば、他のすべてのパスワードは自動入力されます。マスターパスワードには 20 文字以上のランダムな文字列を設定してください。

安全なパスワードの作り方

この記事は約 6 分で読めます

インターネット上のサービスを安全に利用するうえで、パスワードの強度は極めて重要です。しかし、多くの人が「覚えやすさ」を優先するあまり、推測されやすいパスワードを設定してしまっています。 NordPass の 2024 年調査によると、世界で最も使われているパスワードは依然として「 123456 」であり、解読にかかる時間は 1 秒未満です。こうした危険なパスワードの実例は最悪のパスワード殿堂入りリストでも紹介しています。本記事では、攻撃者に突破されにくいパスワードを作るための具体的な方法と、パスつく.com を活用した実践的なアプローチを解説します。

なぜ強いパスワードが必要なのか

パスワードの解読手法として代表的なものに、ブルートフォース攻撃 (総当たり攻撃) と辞書攻撃があります。総当たり攻撃は、考えられるすべての文字の組み合わせを順番に試す手法です。一方、辞書攻撃は「 password 」「 123456 」「 qwerty 」といったよく使われるパスワードのリストを使って突破を試みます。

これらの攻撃が有効な理由は、計算量の問題に帰着します。パスワードの組み合わせ数は「使用可能な文字数の、パスワード長乗」で決まります。英小文字 26 種のみで 6 文字なら 26 の 6 乗 = 約 3 億通りですが、現代の GPU は毎秒数十億回のハッシュ計算が可能なため、わずか 1 秒未満で全パターンを試行できます。これが短いパスワードが危険な本質的理由です。

情報処理推進機構 (IPA) の調査によると、英小文字のみの 6 文字パスワードはわずか数秒で解読される可能性があります。 2025 年の Hive Systems の調査では、最新の GPU (NVIDIA RTX 5090) を使った場合、 8 文字の英小文字のみのパスワードはわずか数分で総当たり解読が可能であると報告されています。前世代の RTX 4090 と比較しても処理性能が大幅に向上しており、短いパスワードの危険性は年々増しています。一方、英大文字・英小文字・数字・記号を組み合わせた 16 文字以上のパスワードであれば、最新の GPU でも解読に数兆年以上かかる計算になります。パスワードの長さと文字種の多様性が、セキュリティの鍵を握っているのです。

パスワード強度の基礎を体系的に学びたい方には、セキュリティ入門の関連書籍 (Amazon)も参考になります。

強いパスワードの 3 つの条件

条件 1: 十分な長さを確保する

パスワードの強度に最も大きく影響するのは「長さ」です。 NIST (米国国立標準技術研究所) の SP 800-63B ガイドラインでは、パスワードの最低文字数を 8 文字以上と定めていますが、現在のセキュリティ専門家の間では最低 12 文字、推奨 16 文字以上が共通認識です。長さが 1 文字増えるごとに組み合わせ数は文字種の数だけ乗算されるため、たとえば 95 種の文字を使う場合、 1 文字追加するだけで候補が 95 倍に増えます。パスつく.com では、スライダーを操作するだけで 4 文字から 128 文字まで自由に長さを設定できます。まずは 16 文字以上を目安に設定してみてください。

条件 2: 複数の文字種を組み合わせる

英大文字 (A 〜 Z)、英小文字 (a 〜 z)、数字 (0 〜 9)、記号 (!@#$% など) の 4 種類すべてを含めることで、パスワードの強度は飛躍的に向上します。パスつく.com では、画面上部のトグルスイッチで使用する文字種を選択できます。特別な理由がない限り、 4 種類すべてをオンにすることを推奨します。

たとえば、英小文字のみの 8 文字パスワードでは約 2,090 億通り (26 の 8 乗) の組み合わせですが、 4 種類すべて (約 95 種) を使った 8 文字パスワードでは約 6 京 3,000 兆通り (95 の 8 乗) にまで増加します。文字種を増やすだけで、解読の難易度が桁違いに上がるのです。この強度の違いを数値で理解するには、パスワードのエントロピーに関する解説記事も参考にしてください。

条件 3: ランダムな文字列にする

人間が考えたパスワードには、無意識のうちにパターンが生まれます。名前や誕生日の組み合わせ、キーボード配列に沿った文字列 (「 asdfghjk 」など)、単語の末尾に数字を付けただけのもの (「 Summer2024 」など) は、攻撃者のリストに含まれている可能性が高く危険です。

パスつく.com は暗号学的に安全な乱数でパスワードを生成します。人間の癖や偏りが一切入らないため、真にランダムな文字列を得られます。生成処理はすべてブラウザ内で完結し、パスワードがネットワークを通じて外部に送信されることはありません。

パスつく.com の強度メーターを活用する

パスつく.com には、生成したパスワードの強度をリアルタイムで表示する強度メーターが搭載されています。この強度メーターは「エントロピー」という情報理論の指標に基づいて計算されます。

エントロピーはビット数で表され、値が大きいほどパスワードの推測が困難であることを意味します。具体的には、エントロピーが 1 ビット増えると候補数が 2 倍になります。つまり 80 ビットのパスワードは、 40 ビットのパスワードの 2 の 40 乗倍 (約 1 兆倍) の候補数を持つことになります。目安として、以下の基準を参考にしてください。

35 ビット以下: 弱い - オンラインサービスには不十分
36 〜 59 ビット: やや弱い - 重要でないサービスなら許容範囲
60 〜 119 ビット: 強い - 一般的なウェブサービスから金融サービスまで対応
120 ビット以上: 非常に強い - 最高レベルのセキュリティ

英大文字・英小文字・数字・記号の 4 種類を使い、 16 文字で生成すると約 105 ビットのエントロピーが得られます。これは金融サービスにも十分な強度です。重要なアカウントには 80 ビット以上を目標にしましょう。

よくある誤解: 「記号を入れれば安全」は本当か

「パスワードに記号を 1 つ入れれば安全」という誤解は根強く残っています。たとえば「 password1!」のように末尾に数字と記号を追加しただけのパスワードは、攻撃者のルールベース辞書攻撃で容易に突破されます。攻撃者は「よくある単語 + 数字 + 記号」というパターンを熟知しており、このような変換ルールを辞書に組み込んでいるためです。

本当に重要なのは、文字種の追加そのものではなく、パスワード全体のランダム性です。「 P@ssw0rd!」は 4 種類の文字種を含んでいますが、元の単語「 Password 」が容易に推測できるため、実質的な強度は見た目ほど高くありません。パスつく.com のような乱数生成ツールを使い、人間の予測パターンから完全に離れた文字列を生成することが、真の安全性につながります。

避けるべきパスワードのパターン

どれだけ長いパスワードでも、以下のようなパターンは攻撃者に見破られやすいため避けてください。

人間がパスワードに使いがちなパターンには歴史的な背景があり、その経緯はパスワードの歴史と文化の記事で詳しく解説しています。

辞書に載っている単語をそのまま使う (「 password 」「 dragon 」「 monkey 」)
個人情報に基づく文字列 (名前、誕生日、電話番号、ペットの名前)
キーボード配列に沿った文字列 (「 qwerty 」「 1234567890 」)
同じ文字の繰り返し (「 aaaaaa 」「 111111 」)
過去に漏洩したパスワードの再利用
複数のサービスで同じパスワードを使い回す

パスつく.com で生成したランダムなパスワードを使えば、これらのパターンに該当する心配はありません。サービスごとに異なるパスワードを生成し、パスワードマネージャーで管理するのが最も安全な運用方法です。

注意点として、パスワードマネージャー自体のマスターパスワードには特に強力なものを設定する必要があります。マスターパスワードが破られると、保存されたすべてのパスワードが危険にさらされるためです。マスターパスワードには 20 文字以上のランダムな文字列を推奨します。

パスワードの使い回しがなぜ危険なのか、その具体的なメカニズムについてはサイバーセキュリティの実践書 (Amazon)でも詳しく解説されています。

パスワード強度セルフチェックリスト

現在使っているパスワードが十分に安全かどうか、以下のチェックリストで確認してみてください。 1 つでも「いいえ」がある場合は、パスつく.com で新しいパスワードを生成することを推奨します。

12 文字以上の長さがあるか
英大文字・英小文字・数字・記号のうち 3 種類以上を含んでいるか
辞書に載っている単語をそのまま含んでいないか
名前、誕生日、電話番号など個人情報を含んでいないか
他のサービスと同じパスワードを使い回していないか
過去にデータ漏洩で流出したパスワードではないか (Have I Been Pwned 等で確認可能)
パスワードマネージャーで管理しているか

パスワード管理方法の比較

安全なパスワードを生成した後は、それをどう管理するかが重要です。主な管理方法のメリット・デメリットを比較します。

専用パスワードマネージャー: 暗号化された保管庫で一元管理でき、自動入力にも対応。マスターパスワードの管理が最重要課題となる
ブラウザ内蔵の保存機能: 手軽だが、ブラウザ間の同期やセキュリティレベルは製品により差がある。詳しくはブラウザのパスワード保存機能の安全性を参照
紙のメモ: オフラインのため遠隔攻撃に強いが、物理的な紛失・盗難リスクがある。金庫など安全な場所に保管する必要がある
表計算ソフトやテキストファイル: 暗号化されていないため推奨しない。 PC がマルウェアに感染した場合、すべてのパスワードが一度に流出する危険がある

パスワード生成方法の比較

パスワードの生成方法にもいくつかの選択肢があります。それぞれの特徴を理解し、自分に合った方法を選びましょう。

方式	ランダム性	手軽さ	安全性	おすすめ対象
手動で考える	低	高	低	非推奨 (パターンが生まれやすい)
ブラウザの自動生成	高	高	中	ブラウザ 1 つで完結したい方
専用パスワードマネージャー	高	中	高	多数のアカウントを管理する方
passtsuku.com	高	高	高	ブラウザ完結で強度も確認したい方

手動で考えたパスワードは、どうしても人間の思考パターンが反映されるため攻撃者に推測されやすくなります。ブラウザの自動生成は手軽ですが、文字数や文字種のカスタマイズが限られる場合があります。パスつく.com は暗号学的に安全な乱数を使用し、文字数・文字種を自由に設定でき、強度メーターでエントロピーも即座に確認できます。インストール不要でブラウザから直接利用できる点も大きな利点です。

パスつく.com での推奨設定

最後に、パスつく.com を使って安全なパスワードを生成する際の推奨設定をまとめます。

文字数: 16 文字以上 (重要なアカウントは 20 文字以上)
英大文字: オン
英小文字: オン
数字: オン
記号: オン (サービスが許可している場合)

一部のサービスでは記号の使用が制限されている場合があります。その場合は記号をオフにし、代わりに文字数を 20 文字以上に増やすことで十分な強度を確保できます。パスつく.com の強度メーターで 80 ビット以上のエントロピーが表示されていれば、安心して利用できるパスワードです。

結局どうすればいいのか - レベル別アドバイス

ここまで読んで「情報が多すぎて何から手をつければいいかわからない」と感じた方もいるかもしれません。レベル別に、今すぐ取り組むべきことを整理します。

初心者向け: まずはこの 3 つだけ

パスワードのセキュリティに初めて取り組む方は、以下の 3 つを実践するだけで安全性が大幅に向上します。

パスつく.com で 16 文字以上のパスワードを生成し、メインのメールアカウントに設定する。メールアカウントは他のサービスのパスワードリセットに使われるため、最優先で保護すべきです
生成したパスワードはブラウザの保存機能に記憶させる。手帳に書き写すよりも安全で手軽です
二段階認証をメールと銀行のアカウントに設定する。パスワードが漏洩しても、二段階認証があれば不正ログインを防げます

中級者向け: 本格的なパスワード運用へ

基本的な対策ができている方は、さらに一歩進んだ運用を目指しましょう。

すべてのサービスで異なるパスワードを使う。パスワードの使い回しは 1 つのサービスの漏洩が全アカウントの侵害に直結します
パスワードマネージャーを導入し、マスターパスワードは 20 文字以上のランダムな文字列をパスつく.com で生成する
Have I Been Pwned で定期的にメールアドレスの漏洩状況を確認し、漏洩が見つかったサービスのパスワードは即座に変更する
重要なアカウント (金融、メール、クラウドストレージ) はエントロピー 100 ビット以上のパスワードを設定する

今すぐできること

パスつく.com で 16 文字以上のパスワードを生成し、メインのメールアカウントに設定する
メールアカウントと銀行口座の二段階認証を有効にする
Have I Been Pwned (haveibeenpwned.com) で自分のメールアドレスの漏洩状況を確認する
使い回しているパスワードをリストアップし、サービスごとに異なるパスワードへ順次変更する
パスワードマネージャーの導入を検討し、マスターパスワードをパスつく.com で生成する

よくある質問

安全なパスワードの長さは何文字以上ですか？: 最低 12 文字、推奨 16 文字以上です。NIST のガイドラインでは 8 文字以上を最低基準としていますが、現在のセキュリティ専門家の間では 16 文字以上が共通認識です。
パスワードに記号を入れれば安全ですか？: 記号を追加するだけでは不十分です。「password1!」のように末尾に記号を付けただけのパスワードは辞書攻撃で容易に突破されます。重要なのはパスワード全体のランダム性です。
パスワード生成ツールで作ったパスワードは覚えられません。どうすればいいですか？: パスワードマネージャーの利用を推奨します。マスターパスワード 1 つだけを覚えれば、他のすべてのパスワードは自動入力されます。マスターパスワードには 20 文字以上のランダムな文字列を設定してください。

この記事は役に立ちましたか？

パスワードを生成する →