強いパスワードの作り方——専門家が教える7つのルール
強いパスワードの条件を具体的な数値と例で解説。長さ・文字種・ランダム性の3原則から、覚えやすく破られにくい作り方まで網羅。
「強いパスワード」の定義を正確に理解しよう
「強い」というのは攻撃者が推測・解読するのにかかる時間が長い、ということだよ。具体的には次の3つの要素で決まる。
要素1:長さ(最重要)
パスワード解読の主な手法はブルートフォース攻撃(全組み合わせ試行)だよ。文字数が増えるほど試すべき組み合わせは指数関数的に増える。
| 長さ | 小文字のみ | 英数字+記号(90文字種) |
|---|---|---|
| 8文字 | 約10分 | 約2時間 |
| 12文字 | 約3年 | 約200万年 |
| 16文字 | 約10億年 | 事実上不可能 |
※高性能GPUによる毎秒100億回試行を想定
16文字以上を目標にしよう。
要素2:文字種の多様性
英小文字26・英大文字26・数字10・記号約32文字を組み合わせると文字種は94種になる。文字種が増えるほど1文字あたりのエントロピーが増えるよ。
- 小文字のみ:1文字あたり4.7ビット
- 英数字:1文字あたり5.9ビット
- 英数字+記号:1文字あたり6.5ビット
ただし「長さ」の方が効果が大きいので、記号を無理に増やして短くするより、長くする方が優先だね。
要素3:ランダム性
「Tanaka2024!」は予測可能で弱い。人名・誕生日・辞書に載っている単語の組み合わせはすべて弱いよ。完全なランダム性が重要だね。
実践的な3つの作り方
方法A:ツールで完全ランダム生成(推奨)
このサイトのパスワード生成ツールで16文字以上・英数字+記号ありで生成するのが最も確実だよ。パスワードマネージャーに保存すれば記憶する必要もない。
方法B:パスフレーズ方式
4〜5個のランダムな単語を組み合わせる方法。「correct-horse-battery-staple」のような形式だよ。人間が記憶しやすく、エントロピーも高い。
方法C:覚えやすいランダム文字列
頭文字法:「今日は良い天気で気分も最高だ!2026」→ KhYT2KbS!2026。完全ランダムより弱いけど、マスターパスワード用途ならこの方法でも十分だよ。
やってはいけないパスワードの例
- 自分や家族の名前 + 誕生日
- 「password」「123456」「qwerty」などのよくあるパターン
- 好きなキャラクターや映画タイトル
- 単純な置換(p@ssw0rdなど)
- 前のパスワードに数字を足しただけ
まとめ
強いパスワードの公式は「16文字以上 × 4種類の文字 × 完全ランダム」だよ。人間が作ると必ずパターンが混入するから、ツールで生成してパスワードマネージャーで管理するのが最善の方法だね。
作ったパスワードは頭で覚えるのではなく、マネージャーに任せると安全です。 編集部がふだん使っているサービスをご紹介します。
洗練されたUI・Watchtower侵害通知・旅行モード搭載。Apple製品ユーザーに特に人気の老舗マネージャー。
オープンソースで透明性が高く、無料プランでも基本機能をフルに使える。セルフホストも可能。
SOC2 Type2認証取得済み。BreachWatch によるダークウェブ監視と法人向け管理コンソールが強力。
NordVPN 系列の老舗。XChaCha20 暗号化・データ漏洩スキャナ・パスワードヘルスを内蔵。日本語UI対応。
スイス拠点・Proton Mail 系列。E2E 暗号化・メールエイリアス・2FA を1つに統合。プライバシー重視派に。