RUNWEBTOOLS
日本語
セキュリティ & プライバシー

強いパスワードを作って管理する方法

更新 2026-07-06

ほぼ誰もが強いパスワードを 使うべき だと知っていますが、最もよくあるものは今も 123456password です。問題の一部は悪いアドバイスです: 長年、私たちは短い記号の寄せ集めを使って毎月変えろと言われてきましたが、実は覚えにくく特に安全でもありません。このガイドは何が実際にパスワードを強くするのか、そして正気を失わずにパスワードを管理する方法を説明します。

何がパスワードを強くするのか

パスワードは、当てにくく総当たりしにくいとき — 可能性が多すぎて全部試すのが非現実的なとき — 強いです。それを左右するのは 2 つ: 長さ予測不可能性

長さは複雑さに勝る

文字が 1 つ増えるごとに可能なパスワードの数が倍増するので、長さが断然最も強力な要素です。普通の単語からなる長いパスフレーズは、短い暗号めいた文字列よりはるかに強く — そして覚えるのもずっと簡単です:

より弱い:  P@ss1!        (8 文字、「複雑」に見える)
より強い:  correct-horse-battery-staple   (長い)

暗号めいた方が弱い理由は、攻撃者が定番の小技をすべて知っているからです — a@ に替える、末尾に 1! を足す — そして彼らのソフトはそうしたパターンを先に試します。素の長さが予測可能な置換に勝ります。

予測不可能性(エントロピー)

もう半分はランダム性です。本当にランダムな文字の混合や、ランダムに選んだ単語で作ったパスワードは エントロピー — どれだけ予測不可能かの尺度 — が高いです。個人情報(名前、誕生日、ペット、好きなチーム)に基づくものは、乱雑に見えても当てられるのでエントロピーが低いです。

攻撃者は実際にどうパスワードを破るのか

脅威を理解すると、アドバイスが腑に落ちます:

  • クレデンシャルスタッフィング — あるサイトが侵害されると、攻撃者は漏れたメール/パスワードの組を他のあらゆるサイトで試します。パスワードを 使い回す のがこれほど危険な理由です。
  • 辞書攻撃 — よくあるパスワードや単語のリストを、上記の予測可能な置換も含めて試します。
  • 総当たり — あらゆる組み合わせを試します。長さこそが、これを攻撃者にとって望み薄にする要素です。

最も大事な 3 つのルール

  1. 長くする — 16 文字以上、または複数単語のパスフレーズを目指す。
  2. それぞれ固有に — サイトごとにパスワードを決して使い回さず、1 度の侵害が残りを開けられないように。
  3. ランダムに — あなたに関する何にも基づかないこと。

この 3 つすべてを満たすものを手早く作る方法は、当サイトの パスワード生成ツール です: すべてブラウザ内で強いランダムなパスワードを作り(どこにも送信されません)、長さと文字種を調整できます。API キーのようなマシン間の秘密には、ランダム文字列生成ツール が同じ仕事をします。

全部どう覚えるか: 覚えないこと

上のルールは何十ものアカウントにわたって記憶で守るのは不可能です — まさにそれが人々がパスワードを使い回す理由です。答えは覚えようとするのをやめることです:

  • パスワードマネージャーを使う。 サイトごとに固有で強いパスワードを生成・保存・自動入力し、あなたは強いマスターパスワードを 1 つ覚えるだけです。
  • 二要素認証(2FA)をオンにする。 パスワードが漏れても、第二要素(アプリのコードやハードウェアキー)が攻撃者のログインを止めます。提供しているすべての場所、特にメールと銀行で有効にしましょう。
  • 何よりメールを守る。 メールアカウントは他のほとんどのパスワードをリセットできるので、最も長い固有のパスワードと 2FA に値します。

やめてよいこと

現代のセキュリティ指針(NIST を含む)は 2 つの古い習慣を捨てました: 強制的な定期変更(人を弱く予測可能なバリエーションへ追い込む)と、長さの代わりの 必須の記号/数字ルール。理由があるとき — 侵害、共有デバイス — にパスワードを変えましょう、カレンダーに合わせてではなく。長さ・固有性・パスワードマネージャーに力を注げば、オンラインの圧倒的多数のアカウントより先を行けます。

セキュリティ & プライバシー をもっと見る

セキュリティ & プライバシー のガイドをすべて見る →

このガイドで触れたツール