はじめに
安全なパスワードを作るときは、記号を1文字追加することだけでなく、十分な長さ、サービスごとに異なる文字列、推測されにくい生成方法、安全な保存方法を組み合わせることが重要です。
複雑なパスワードを多数暗記しようとすると、短い文字列や同じパスワードの使い回しにつながります。ランダムに生成した長いパスワードをパスワード管理ツールへ保存し、利用できる場合は多要素認証やパスキーも設定します。
この記事では、公的なセキュリティ指針を参考に、文字数と文字種の考え方、避けたい作り方、サービスごとの管理、漏えいが疑われるときの対応、Toolerでの生成手順を整理します。
安全なパスワードで優先したいこと
最初に優先したいのは長さと使い回さないことです。短い文字列へ英大文字や記号を足すだけでは、元の単語や規則が推測される可能性があります。登録先の上限が許す範囲で十分な長さを取り、ほかのサービスとは異なる文字列を使います。
NISTのデジタルアイデンティティ指針では、パスワードだけで認証する場合に最低15文字を求める考え方が示されています。ただし実際に登録できる文字数と使用可能な記号はサービスごとに異なるため、登録画面の条件を優先します。
避けたいパスワードの作り方
名前と誕生日、辞書にある単語、123456のような連番、qwertyのようなキーボード配列は推測されやすい候補です。末尾の数字だけを変更する方法や、サービス名を先頭へ付ける方法も、1件が知られるとほかのパスワードの規則を推測される可能性があります。
有名な文章や歌詞をそのまま使うことも避けます。複数の単語を使う場合でも、自分と関係がなく予測しにくい組み合わせにするか、安全な乱数で生成します。
英大文字・数字・記号の考え方
使用できる文字の種類が増えると、同じ長さでも候補数は増えます。一方で、サービス側が特定の記号を受け付けない場合や、別端末で手入力する必要がある場合もあります。登録条件と利用場面に合わせて選んでください。
英大文字・英小文字・数字・記号をすべて選んだ場合、生成ツールは各種類を最低1文字含めます。I・l・1やO・0のような紛らわしい文字を除外すると、紙や別端末から入力するときの見間違いを減らせますが、除外した分だけ文字の候補数は少なくなります。
パスワードを使い回してはいけない理由
同じパスワードを複数サービスで使うと、1つのサービスから認証情報が漏えいした際に、ほかのサービスでも同じ組み合わせを試される可能性があります。メールアカウントが乗っ取られると、ほかのサービスのパスワード再設定にも影響します。
すべてを暗記するのではなく、サービスごとにランダムなパスワードを作り、信頼できるパスワード管理ツールへ保存します。管理ツール自体のマスターパスワードは、ほかで使わない長いものにし、多要素認証も設定します。
定期変更より漏えい時の素早い変更を優先する
理由なく短期間で変更を繰り返すと、覚えやすい規則や末尾の連番へ変える原因になる場合があります。サービス側から漏えい通知が届いた、フィッシングサイトへ入力した、知らないログイン履歴があるといった兆候がある場合はすぐに変更します。
変更するときは、以前の文字列を一部だけ変えるのではなく新しいものを生成します。同じパスワードを使っていたサービスがある場合は、それらも個別の新しいパスワードへ変更し、ログイン中の端末や連携アプリも確認します。
多要素認証とパスキーも組み合わせる
パスワードが漏えいしても、それだけではログインできないように多要素認証を設定します。認証アプリ、セキュリティキー、端末の生体認証など、サービスが提供する方法から選びます。復旧コードはアカウントとは別の安全な場所へ保管します。
パスキーに対応しているサービスでは、フィッシング耐性や使いやすさの面から利用を検討できます。パスワード生成ツールは、パスワード登録が必要なサービスや管理ツールのマスターパスワードを補助するものとして使います。
Toolerでパスワードを生成する手順
パスワード生成ツールを開き、8〜128文字から長さを指定します。英小文字、英大文字、数字、記号から使用する種類を選び、必要に応じて紛らわしい文字を除外します。一度に1〜20個まで生成できます。
生成ボタンを押すと、ブラウザのWeb Crypto APIによる安全な乱数を使って文字列を作ります。結果は外部サーバーへ送信・保存されません。使用するものだけをコピーし、登録後はパスワード管理ツールへ保存してください。
公開前のチェックリスト
- ✓登録先の文字数上限と使用可能な記号を確認したか
- ✓十分な長さを確保しているか
- ✓名前・誕生日・サービス名などを含めていないか
- ✓ほかのサービスと同じパスワードを使っていないか
- ✓規則的な連番やキーボード配列になっていないか
- ✓パスワード管理ツールへ保存したか
- ✓利用できる場合は多要素認証やパスキーを設定したか
- ✓復旧コードと復旧先メールを確認したか
読んだ内容をすぐ確認
パスワード生成を使う
長さ・文字種・生成数を指定し、安全な乱数でパスワードを端末内生成できます。
よくある質問
Q. 安全なパスワードは何文字必要ですか?
A. 登録先の条件を優先したうえで、パスワードだけで認証する場合は15文字以上を候補にします。短い複雑な文字列だけに頼らず、十分な長さと使い回し防止を組み合わせてください。
Q. 英大文字・数字・記号はすべて必要ですか?
A. 登録先が求める条件を優先してください。文字種を増やすと候補数は増えますが、十分な長さ、ランダムな生成、サービスごとに異なるパスワードであることも重要です。
Q. パスワードは定期的に変更した方がよいですか?
A. 漏えいや不審なログインなど変更する理由がある場合はすぐに変更します。理由なく頻繁に変更して末尾だけを変えるより、長く固有のパスワードを安全に管理してください。
Q. パスワードをメモしてもよいですか?
A. 他人が見られる付箋、メール、共有チャットへの平文保存は避けます。複数のパスワードは信頼できるパスワード管理ツールで管理し、マスターパスワードと多要素認証を保護してください。
Q. パスワード生成ツールの結果は送信されますか?
A. ToolerではWeb Crypto APIを使ってブラウザ内で生成します。生成条件と結果をToolerのサーバーへ送信・保存する処理はありません。

