強力なパスワードの作り方(そして記号より長さが効く理由)
2026-05-29
手っ取り早く言うと: 強力なパスワードとは、長くてランダムなものです——記号を詰め込むことより、長さのほうがはるかに重要です。一番速くてプライベートに作る方法はToolKoalaのパスワード生成ツールで、ブラウザ内で組み立てるのでパスワードがどこにも送られません。手で打ち込むものなら、ランダムな単語を4つ以上つないだパスフレーズが、強力かつ覚えやすくておすすめです。
長さが記号の盛り合わせに勝つ理由
パスワードを破られにくくするのは、実はエントロピーです——「攻撃者が試さなければならない推測の数」をかっこよく言ったものです。文字が1つ増えるたびに可能性の数が掛け算で増えるので、長さはエントロピーを一気に押し上げます。
居心地の悪い真実を言いましょう: P@ssw0rd! は賢そうに見えますが、弱いです。攻撃者は置き換えのトリック(a→@、o→0、s→$)を全部知っていますし、「password」はあらゆる解読辞書の最上位にあります。ありふれた単語に記号と大文字を足したところで、誰の足止めにもほとんどなりません。
それを4つのランダムな単語と比べてみてください: velvet-anchor-puzzle-stove。こちらのほうが長く、辞書のフレーズが含まれておらず、しかも実際には覚えやすいのです。それがすべてです——ランダムさ×長さ。
ざっくりした目安:
- 12文字が、重要なものすべての下限です。
- 16文字以上を、大事なアカウント(メール、銀行、パスワードマネージャー)に。
- 頻繁に打ち込むものには4単語のパスフレーズ(心配性なら5単語)。
(プライベートに)生成する方法
- ToolKoalaのパスワード生成ツールを開きます。
- 長さを選びます——ランダム文字列スタイルなら16以上にスライドさせます。
- または、4〜5単語のパスフレーズモードに切り替えます。
- コピーして、そのまま登録フォームに貼り付け、保管します(下で詳しく)。
生成ツールはすべてブラウザ内で動きます。サーバー呼び出しは一切なし——DevToolsを開いてネットワークタブを見れば、生成中に何もあなたの端末から出ていかないことを確認できます。これは大事です。他人のサーバーから取ってきたパスワードは、他人のサーバーが見たことのあるパスワードなのですから。
正直なところの代替手段と、保管の落とし穴
ツールが必須というわけではありません。あなたのブラウザ(Chrome、Safari、Firefox)は、ランダムなパスワードを無料で提案・保存してくれますし、ほとんどの人にはそれで十分まともです。専用のパスワードマネージャーなら、もっとうまくやります:
- Bitwarden — 無料枠が太っ腹、オープンソース、どこでも同期。
- 1Password — 約$3/月、洗練されていて、家族向けに最適。
- KeePassXC — 無料、完全オフライン、ファイルは自分のもの。
EFFの単語リストを使ってサイコロを振ることもできます(「diceware」で検索)——遅いですが、いじりようがなくて愛らしい方法です。
誰もはっきり言いたがらない部分がこれです: 生成したパスワードは、どこに保管するか以上には安全になりません。 完璧な20文字のランダム文字列でも、付箋に書いたり、10サイトで使い回したりすれば、ちゃんとしたマネージャーに入れた平凡なパスワードより悪いのです。生成して、マネージャーに保管して、使い回さず、二要素認証をオンにする。生成ツールは鎖の輪の1つであって、鎖全体ではありません。
よくある質問
2026年のパスワードはどれくらいの長さにすべき? 最低12文字、大事なものは16文字以上。長さは、文字を記号に置き換えるより指数関数的に多くの保護をもたらします。
パスフレーズは本当にランダムなパスワードと同じくらい安全?
はい、単語が本当にランダムで、4つ以上使うならば。correct-horse-battery-staple 方式が効くのは、賢さではなくランダムさが仕事をしているからです。
オンラインのパスワード生成ツールを使っても安全? ToolKoalaのものがそうであるように、ブラウザ内でローカルに生成する場合に限ります——DevToolsで何も送られていないことを確認できます。サーバーへ往復するような生成ツールは避けましょう。
強力なパスワードを生成すれば、パスワードマネージャーはもう不要? ほぼ、いいえです。覚えられない強力なパスワードは、安全に保管してくれる何かがなければ役に立ちません。Bitwardenの無料枠は始めるのにちょうどいい場所です。
— Milo 🐨