🛡 ブラウザ完結
🔐 Web Crypto API
📡 通信ゼロ
パスワードの「長さ vs 複雑さ」論争に終止符——エントロピーで正しく理解しよう
パスワードの強さを決める長さと複雑さの関係をエントロピーで定量解説。NISTの最新ガイドラインも踏まえ、本当に有効な作り方を解説。
last verified: 2026-06-23
build: stable
長さと複雑さ、どちらが「強さ」に貢献するか
パスワードの強さを測る指標が「エントロピー」だよ。ビット数が高いほど解読に時間がかかる。エントロピーは次の式で計算できる。
エントロピー = log₂(文字種数) × 文字数
文字種数の影響(複雑さ)
| 文字種 | 文字種数 | 1文字あたりのエントロピー |
|---|---|---|
| 数字のみ | 10 | 3.3ビット |
| 英小文字のみ | 26 | 4.7ビット |
| 英大小文字 | 52 | 5.7ビット |
| 英大小文字+数字 | 62 | 5.9ビット |
| 英大小文字+数字+記号(94文字種) | 94 | 6.6ビット |
長さの影響
10文字 × 6.6ビット = 66ビット 20文字 × 6.6ビット = 132ビット
10文字増えると2倍ではなく、解読試行数は2の66乗倍(天文学的な差)になるよ。
直接比較してみよう
| パスワード | 文字種 | 長さ | エントロピー |
|---|---|---|---|
| P@ssw0rd | 94種 | 8文字 | 53ビット |
| correcthorsebatterystaple | 26種 | 25文字 | 117ビット |
| xK9!mPqR | 94種 | 8文字 | 53ビット |
| random16charslower | 26種 | 18文字 | 84ビット |
「P@ssw0rd」は記号と数字が入っていても8文字しかないから、25文字のパスフレーズより圧倒的に弱いね。
NISTの最新見解
NIST SP 800-63Bでは2017年改訂以降、以下を推奨しているよ。
- 最低8文字以上を必須とする(推奨は16文字以上)
- 複雑さルールを強制しない(記号必須などは不要)
- 定期変更を強制しない(漏洩が確認されたときのみ変更)
- 辞書チェックと漏洩リストチェックの方が有効
結論:長さ優先、複雑さは追加ボーナス
実践的な優先順位はこうなるよ。
- 16文字以上を目標にする(最優先)
- 完全にランダムな文字を使う(辞書単語NG)
- 可能なら複数の文字種を含める(追加効果あり)
- パスワードマネージャーで管理して使い回さない
複雑さのルールに縛られて短くするより、長くてランダムな文字列の方が数学的に強いよ。このことを覚えておこう。
● よくある質問
Q.記号を必ず入れないと強いパスワードにならない?
記号を入れると文字種が増えてエントロピーは上がるけど、長さの方が効果が大きいよ。20文字の小文字のみのランダム文字列は、8文字の英数字+記号より強いくらいだね。
Q.NISTは定期変更を推奨していないって本当?
本当だよ。NIST SP 800-63Bの2017年以降の改訂では「漏洩の証拠がない限り定期変更を強制しない」と明記されてる。むやみな定期変更はかえって弱いパスワードを生む傾向があるとされてるね。
Q.大文字・小文字・数字・記号の4種類を使わないといけないの?
多くのサービスがポリシーとして求めるけど、セキュリティ的には「長さ」の方が重要だよ。NISTも複雑さの要件より長さを優先することを推奨している。
● 関連ガイド
2要素認証(2FA)の設定方法——SMS・認証アプリ・ハードウェアキーの違いも解説
2段階認証の設定手順をGoogle・Apple・Amazonを例に解説。SMS・TOTP・ハードウェアキーの安全性の違いも比較。
企業のパスワードポリシー策定ガイド——NIST・IPA推奨に基づく現代的な設計
企業向けパスワードポリシーの設計指針をNIST SP 800-63BとIPAガイドラインに基づいて解説。最低文字数・定期変更・ロックアウト設定の具体的な数値を紹介。
パスワードの定期変更は必要か——NISTが「定期変更不要」とした理由を解説
パスワードの定期変更が効果的でない理由をNIST SP 800-63Bの根拠とともに解説。本当に変更すべきタイミングと適切な変更頻度を紹介。
パスワードの文字種(文字クラス)とは——英字・数字・記号の組み合わせ効果を解説
パスワードに使う文字種(英大小文字・数字・記号)がセキュリティに与える影響をエントロピー計算で解説。実用的な文字種の選び方も紹介。
● 推奨パスワードマネージャー / Recommended
[PR]
作ったパスワードは頭で覚えるのではなく、マネージャーに任せると安全です。 編集部がふだん使っているサービスをご紹介します。
1Password
★ 4.8
洗練されたUI・Watchtower侵害通知・旅行モード搭載。Apple製品ユーザーに特に人気の老舗マネージャー。
月額 約360円〜
→ 詳しくみる ※PR
Bitwarden
★ 4.7
オープンソースで透明性が高く、無料プランでも基本機能をフルに使える。セルフホストも可能。
無料 / 月額 約130円〜
→ 詳しくみる ※PR
Keeper
★ 4.6
SOC2 Type2認証取得済み。BreachWatch によるダークウェブ監視と法人向け管理コンソールが強力。
月額 約500円〜
→ 詳しくみる ※PR
NordPass
★ 4.5
NordVPN 系列の老舗。XChaCha20 暗号化・データ漏洩スキャナ・パスワードヘルスを内蔵。日本語UI対応。
月額 約290円〜
→ 詳しくみる ※PR
Proton Pass
★ 4.4
スイス拠点・Proton Mail 系列。E2E 暗号化・メールエイリアス・2FA を1つに統合。プライバシー重視派に。
月額 約260円〜
→ 詳しくみる ※PR