パスフレーズとパスワードの違い——「correct horse battery staple」が強い理由

パスフレーズとは何か

パスフレーズは複数の単語を組み合わせた長いパスワードだよ。「correcthorsebatterystaple」「赤いリンゴ空を飛ぶ犬」のような形式で、従来の短くて複雑なパスワードとは異なるアプローチを取っている。

xkcd漫画が広めたパスフレーズの概念

2011年にxkcdの漫画「Password Strength」が話題になったよ。「Tr0ub4dor&3」（11文字、複雑だが覚えにくい）より「correcthorsebatterystaple」（28文字、ランダム4単語）の方がエントロピーが高く覚えやすいと示したことで、パスフレーズが注目された。

エントロピー比較

従来型パスワード（8文字、英数字+記号）

• 文字種94、8文字 → 53ビット

パスフレーズ（EFF4語）

• 7776語から4語 → log₂(7776⁴) ≈ 51ビット

あれ、4語だと従来型と大差ない。ここで重要なのは語数だよ。

パスフレーズ（EFF6語）

• 7776語から6語 → log₂(7776⁶) ≈ 77ビット

6語になると圧倒的に強くなる。そして人間が記憶できる難易度は6語の方がずっと低い。

パスフレーズが得意な用途

• マスターパスワード：パスワードマネージャーへのログイン。自分で覚えなければいけない唯一のパスワードに最適
• フルディスク暗号化：BitLockerやFileVaultの回復キー
• PGP/SSH秘密鍵：暗号鍵のパスフレーズ

ランダムパスワードが得意な用途

• 個別サービスのログイン → パスワードマネージャーで管理するため記憶不要
• API鍵・トークン → 覚える必要がない
• ランダム性が最重要なケース

どちらを選ぶかの判断基準

「自分で覚える必要があるか？」が分岐点だよ。

• 覚える必要あり → パスフレーズ（5〜6語）
• 覚えなくてよい → ランダムパスワード（マネージャー管理）

人間は長いパスワードより、意味のある単語の組み合わせを記憶する方がはるかに得意だよ。マスターパスワードだけはパスフレーズにして、他はすべてマネージャーに任せるのがベストな組み合わせだね。