安全なパスワードの作り方と強度の考え方

「パスワードは定期的に変更しましょう」という案内をよく目にしますが、実は強度の低いパスワードを頻繁に変えるより、強いパスワードを設定して変えない方が安全だと現在は考えられています。重要なのは「どう変えるか」より「どう作るか」です。

この記事では、パスワードの強度を決める要素と、安全なパスワードの作り方を解説します。

パスワードが破られる仕組み

攻撃者がパスワードを突破する主な方法は2つです。

• 総当り攻撃（ブルートフォース）：すべての文字の組み合わせを試す方法です。パスワードが短いほど、また使用する文字の種類が少ないほど、試すパターン数が少なくなり突破されやすくなります。
• 辞書攻撃：よく使われる単語やパスワードのリストを使って試す方法です。「password」「123456」「qwerty」などはリストの上位に並んでいます。また「P@ssw0rd」のように単純に文字を置き換えたものもリストに含まれています。

これら2つの攻撃に対して有効なのが、長さ・文字種・ランダム性の3要素です。

強度を決める3つの要素

• 長さ：最も重要な要素です。1文字増やすごとに試すパターン数が指数関数的に増えます。英数字のみで8文字と16文字では、理論上の強度に約218兆倍の差があります。現在の推奨は最低16文字以上です。
• 文字種：英小文字のみ（26種）より、大文字・数字・記号を加えた90種以上の文字を使う方が強度が上がります。ただし短くて複雑なパスワードより、長くてシンプルなパスワードの方が安全な場合があります。
• ランダム性：意味のある単語や予測可能なパターンを避けることが重要です。「好きなものの名前+誕生年」のような構成は辞書攻撃に弱くなります。

よくある危険なパターン

• 単語に数字を付け加えるだけのもの（例：coffee2024）
• 文字を記号に置き換えただけのもの（例：p@ssw0rd）
• キーボードの並びをそのまま使ったもの（例：qwerty、123456）
• サービス名や自分の名前を含むもの（例：google_yamada）
• 複数のサービスで同じパスワードを使い回すこと

安全なパスワードの作り方

最も安全なのは、パスワード生成ツールで作ったランダムな文字列を使うことです。人間が「ランダム」と思って作るパスワードには、実は規則性やクセが出やすく、意外と予測されやすいものです。

生成したパスワードは覚える必要はありません。パスワードマネージャー（1Password・Bitwardenなど）に保存して管理するのが現代の標準的なアプローチです。マスターパスワード1つを強固に保ち、各サービスには別々のランダムなパスワードを使うことで、安全性と利便性を両立できます。

以下のパスワード生成ツールでは、長さや文字種（記号・数字・大文字）を自由に設定して、ランダムなパスワードを即座に生成できます。