通常アカウント向けの安心デフォルト
設定
長さ: 20 ・ 小文字: ON ・ 大文字: ON ・ 数字: ON ・ 記号: ON
出力例
B7$kP2wM!hG9eV4rT&xQ
ダッシュボードやWebアプリ、一般的な個人アカウントで使える定番設定です。4種類すべての文字を含む20文字は、現状ほぼ解読不可能とされる強度に達します。
パスワードジェネレーター
文字種を調整して強力なランダムパスワードを生成。
最終更新
強度弱い0 ビット
パスワードwindow.crypto でブラウザ内実行
「生成」をクリックしてパスワードを作成。
パスワードジェネレーターとは?
パスワードジェネレーターは、人間が考えるよりはるかに推測しにくいランダムなパスワードを作るツールです。テスト用アカウント、管理画面、DBの認証情報、ダッシュボードへの登録、CIのシークレット、個人のセキュリティ実践など、開発者や学習者の現場で広く使われています。
鍵になるのは「エントロピー」、つまりどれだけ予測しにくいかという指標です。長くて予測しづらいパスワードは、見た目は同じくらいランダムでも強度が桁違いに上がります。アカウントごとにユニークなパスワードを作り、信頼できるパスワードマネージャーに保管しておけば、使い回しに伴うリスクの大半は消せます。
まともなパスワードジェネレーターは、安全な乱数源から値を取ります。ブラウザなら window.crypto.getRandomValues、Pythonなら secrets、Node.jsなら crypto.randomBytes です。Math.random() や単純に時刻でシードしたRNGに頼っているものは、攻撃者にとっては予測可能で危険です。
パスワード生成を通じて学べること
aを@に置き換えるような小細工より、長さの方が効きます。20文字の小文字オンリーのパスワードは、記号入り10文字より強いです。- 乱数は
Math.random()ではなく、window.cryptoのような暗号学的に安全な乱数源から取る必要があります。 - アカウントごとにユニークなパスワードを使えば、どこか1か所が漏れても被害がそこで止まります。
強力なパスワードを生成する手順
長さを決める
重要なアカウントなら最低16文字、admin や root 系の認証情報なら20文字以上を目安に。長さは他のどんな工夫より効きます。
使う文字種を選ぶ
強度を最大にしたいなら、小文字・大文字・数字・記号をすべて有効にします。音声で伝えたり別の環境にコピーしたりする可能性があるなら、記号は外しても構いません。
紛らわしい文字を除外する(任意)
声に出して読み上げたり、手で打ち直したりする可能性があるなら、
O / 0やl / 1 / Iを除外するオプションを有効にしておきましょう。生成して強度メーターを確認する
メーターは総当たり攻撃に何年かかるかの目安を表示します。最上位のレンジに入っていれば、個人のアカウントとしては十分です。
パスワードマネージャーに保存する
生成したパスワードは、信頼できるパスワードマネージャーに直接コピーします。チャットやメール、付箋に貼り付けるのは絶対NG。他のアカウントへの使い回しもしないこと。
パスワード強度クイックリファレンス
1秒あたり100億回の試行を仮定した、現代的なオフラインクラッキングでの解読時間の目安です。長さを決めるときのざっくりした参考にしてください。一次情報としては NIST SP 800-63B と OWASP Authentication Cheat Sheet が定番です。
| 長さ | 文字種 | 強度の目安 |
|---|---|---|
| 8 | 小文字 + 数字(36種) | 数秒で解読される |
| 10 | 小文字 + 大文字 + 数字(62種) | 数時間で解読される |
| 12 | 小文字 + 大文字 + 数字 + 記号(94種) | 数日〜数週間 |
| 16 | 小文字 + 大文字 + 数字 + 記号 | 数百年規模 |
| 20 | 小文字 + 大文字 + 数字 + 記号 | 現実的には解読不可能 |
| 4語 | ランダムな単語のパスフレーズ(correct horse battery staple) | 数百年規模 — しかも覚えやすい |
試してみたいパスワード例
長さだけが違う比較例
8文字(弱)
f7Bk2pQz
24文字(強)
f7Bk2pQzM!eV9rT&hG3wXn$L
短い方も同じ文字種を使っていますが、強度は桁違いに弱くなります。結局のところ、長さがほぼすべてです。
読み書きしやすいパスフレーズ
パスフレーズ
lantern-vivid-comet-nimbus-quartz
無関係な単語を5つ並べたパスフレーズは、16文字のランダム文字列とほぼ同等の強度を持ちつつ、入力・発話・記憶のいずれもずっと楽になります。
ありがちなパスワードのミス
- 生成した同じパスワードを複数のアカウントで使い回す。1サイトの漏えいが芋づる式に他のサービスへ波及します。
- 「記号が入っているから強い」と思い込んで短いパスワードにしてしまう。実際には長さの方がはるかに効きます。
- 本番の認証情報をソースコード、スクショ、チャット、レッスンメモなどに貼ってしまう。環境変数とシークレットマネージャーを使いましょう。
Password Generator FAQ
強力なパスワードはどう作ればいい?
パスワードジェネレーターを使い、長さは16文字以上、文字種は小文字・大文字・数字・記号の4種をすべて含めます。生成した結果はそのままパスワードマネージャーに保存し、覚えたり手で入力したりしないようにしましょう。
強いパスワードの条件は?
長さ・ランダム性・ユニーク性の3つです。安全な乱数源から作られた長いランダム文字列を、たった1つのアカウントだけに使う、というのが理想形です。
全アカウントでパスワードジェネレーターを使うべき?
はい。生成したユニークなパスワードを信頼できるパスワードマネージャーに保管するのが、クレデンシャルスタッフィング攻撃に対するもっとも単純で強力な防御策です。
強いパスワードに記号は必須?
記号があると有利ではありますが、長さとランダム性の方が重要です。長いランダムなパスフレーズ(
tower-citrus-bronze-quay-pear など)は、記号山盛りの短いパスワードと同等の強度を持ちつつ、扱いがずっと楽になります。このパスワードジェネレーターは安全に使える?
はい。Coddyのジェネレーターは
window.crypto.getRandomValues を使ってブラウザ内で完結して動作します。生成したパスワードがサーバーに送られることはありません。生成したパスワードを自分のコードで使ってもいい?
環境変数、シークレットマネージャー、暗号化されたVaultを使ってください。プライベートリポジトリであっても、本物の認証情報をソースに直書きするのは避けましょう。
