アカウント安全対策
パスワードセキュリティパスワード生成

安全なパスワードの作り方|長さ・使い回し・管理方法を解説

安全なパスワードを作るための長さ、文字種、使い回し防止、パスワード管理ツール、多要素認証、漏えい時の対応を解説します。

最終更新:2026年7月17日読了目安:6アカウント安全対策

はじめに

安全なパスワードを作るときは、記号を1文字追加することだけでなく、十分な長さ、サービスごとに異なる文字列、推測されにくい生成方法、安全な保存方法を組み合わせることが重要です。

複雑なパスワードを多数暗記しようとすると、短い文字列や同じパスワードの使い回しにつながります。ランダムに生成した長いパスワードをパスワード管理ツールへ保存し、利用できる場合は多要素認証やパスキーも設定します。

この記事では、公的なセキュリティ指針を参考に、文字数と文字種の考え方、避けたい作り方、サービスごとの管理、漏えいが疑われるときの対応、Toolerでの生成手順を整理します。

1

安全なパスワードで優先したいこと

最初に優先したいのは長さと使い回さないことです。短い文字列へ英大文字や記号を足すだけでは、元の単語や規則が推測される可能性があります。登録先の上限が許す範囲で十分な長さを取り、ほかのサービスとは異なる文字列を使います。

NISTのデジタルアイデンティティ指針では、パスワードだけで認証する場合に最低15文字を求める考え方が示されています。ただし実際に登録できる文字数と使用可能な記号はサービスごとに異なるため、登録画面の条件を優先します。

1登録先が許可する範囲で15文字以上を候補にする
2ほかのサービスと同じパスワードを使わない
3名前・誕生日・電話番号・サービス名を含めない
4連番やキーボード上の並びを避ける
2

避けたいパスワードの作り方

名前と誕生日、辞書にある単語、123456のような連番、qwertyのようなキーボード配列は推測されやすい候補です。末尾の数字だけを変更する方法や、サービス名を先頭へ付ける方法も、1件が知られるとほかのパスワードの規則を推測される可能性があります。

有名な文章や歌詞をそのまま使うことも避けます。複数の単語を使う場合でも、自分と関係がなく予測しにくい組み合わせにするか、安全な乱数で生成します。

1password・admin・welcomeなどの一般的な単語
2123456・111111・abcdefなどの連続・反復文字
3氏名・誕生日・住所・ペット名など公開情報
4共通文字列の末尾だけをサービスごとに変える規則
3

英大文字・数字・記号の考え方

使用できる文字の種類が増えると、同じ長さでも候補数は増えます。一方で、サービス側が特定の記号を受け付けない場合や、別端末で手入力する必要がある場合もあります。登録条件と利用場面に合わせて選んでください。

英大文字・英小文字・数字・記号をすべて選んだ場合、生成ツールは各種類を最低1文字含めます。I・l・1やO・0のような紛らわしい文字を除外すると、紙や別端末から入力するときの見間違いを減らせますが、除外した分だけ文字の候補数は少なくなります。

1登録先が許可する文字種と記号を確認する
2文字種だけでなく十分な長さも確保する
3手入力する場合は紛らわしい文字の除外を検討する
4生成後に登録画面で受け付けられるか確認する
4

パスワードを使い回してはいけない理由

同じパスワードを複数サービスで使うと、1つのサービスから認証情報が漏えいした際に、ほかのサービスでも同じ組み合わせを試される可能性があります。メールアカウントが乗っ取られると、ほかのサービスのパスワード再設定にも影響します。

すべてを暗記するのではなく、サービスごとにランダムなパスワードを作り、信頼できるパスワード管理ツールへ保存します。管理ツール自体のマスターパスワードは、ほかで使わない長いものにし、多要素認証も設定します。

1サービスごとに異なるパスワードを生成する
2特にメール・金融・管理者アカウントの使い回しを避ける
3パスワード管理ツールのマスターパスワードも固有にする
4共有が必要な場合は管理ツールの共有機能を検討する
5

定期変更より漏えい時の素早い変更を優先する

理由なく短期間で変更を繰り返すと、覚えやすい規則や末尾の連番へ変える原因になる場合があります。サービス側から漏えい通知が届いた、フィッシングサイトへ入力した、知らないログイン履歴があるといった兆候がある場合はすぐに変更します。

変更するときは、以前の文字列を一部だけ変えるのではなく新しいものを生成します。同じパスワードを使っていたサービスがある場合は、それらも個別の新しいパスワードへ変更し、ログイン中の端末や連携アプリも確認します。

1漏えい・フィッシング・不審ログインがあればすぐ変更する
2末尾の数字だけを変えず、新しい文字列を生成する
3使い回していたサービスも個別に変更する
4ログイン履歴・接続端末・復旧先メールを確認する
6

多要素認証とパスキーも組み合わせる

パスワードが漏えいしても、それだけではログインできないように多要素認証を設定します。認証アプリ、セキュリティキー、端末の生体認証など、サービスが提供する方法から選びます。復旧コードはアカウントとは別の安全な場所へ保管します。

パスキーに対応しているサービスでは、フィッシング耐性や使いやすさの面から利用を検討できます。パスワード生成ツールは、パスワード登録が必要なサービスや管理ツールのマスターパスワードを補助するものとして使います。

1利用できるサービスでは多要素認証を有効にする
2SMS以外の認証方法も提供状況に応じて検討する
3復旧コードをアカウントと別の安全な場所へ保管する
4対応サービスではパスキーも検討する
7

Toolerでパスワードを生成する手順

パスワード生成ツールを開き、8〜128文字から長さを指定します。英小文字、英大文字、数字、記号から使用する種類を選び、必要に応じて紛らわしい文字を除外します。一度に1〜20個まで生成できます。

生成ボタンを押すと、ブラウザのWeb Crypto APIによる安全な乱数を使って文字列を作ります。結果は外部サーバーへ送信・保存されません。使用するものだけをコピーし、登録後はパスワード管理ツールへ保存してください。

11. 登録先の文字数・使用可能文字を確認する
22. 長さ・文字種・生成数を指定する
33. 生成して必要な文字列をコピーする
44. 登録後、パスワード管理ツールへ保存する

公開前のチェックリスト

  • 登録先の文字数上限と使用可能な記号を確認したか
  • 十分な長さを確保しているか
  • 名前・誕生日・サービス名などを含めていないか
  • ほかのサービスと同じパスワードを使っていないか
  • 規則的な連番やキーボード配列になっていないか
  • パスワード管理ツールへ保存したか
  • 利用できる場合は多要素認証やパスキーを設定したか
  • 復旧コードと復旧先メールを確認したか

読んだ内容をすぐ確認

パスワード生成を使う

長さ・文字種・生成数を指定し、安全な乱数でパスワードを端末内生成できます。

ツールを開く →

よくある質問

Q. 安全なパスワードは何文字必要ですか?

A. 登録先の条件を優先したうえで、パスワードだけで認証する場合は15文字以上を候補にします。短い複雑な文字列だけに頼らず、十分な長さと使い回し防止を組み合わせてください。

Q. 英大文字・数字・記号はすべて必要ですか?

A. 登録先が求める条件を優先してください。文字種を増やすと候補数は増えますが、十分な長さ、ランダムな生成、サービスごとに異なるパスワードであることも重要です。

Q. パスワードは定期的に変更した方がよいですか?

A. 漏えいや不審なログインなど変更する理由がある場合はすぐに変更します。理由なく頻繁に変更して末尾だけを変えるより、長く固有のパスワードを安全に管理してください。

Q. パスワードをメモしてもよいですか?

A. 他人が見られる付箋、メール、共有チャットへの平文保存は避けます。複数のパスワードは信頼できるパスワード管理ツールで管理し、マスターパスワードと多要素認証を保護してください。

Q. パスワード生成ツールの結果は送信されますか?

A. ToolerではWeb Crypto APIを使ってブラウザ内で生成します。生成条件と結果をToolerのサーバーへ送信・保存する処理はありません。