パスワードは何文字必要ですか？

NIST SP 800-63B（最新ガイドライン）では最低8文字を推奨していますが、現在の攻撃技術を考えると一般サービスで12文字以上、銀行・業務系で16文字以上が安全圏です。GPUクラスタを使ったオフライン攻撃では8文字程度のパスワードは数時間〜数日で解析される可能性があります。本ツールのデフォルト設定（16文字・英大小+数字+記号）は現実的な強度として十分です。

記号は必須ですか？

記号を加えると組み合わせ数が増えますが、NIST の最新ガイドラインでは「記号を強制することで覚えられないパスワードを作り、使い回しを招く」として記号の強制要求を非推奨としています。記号が使えないサービスでも、文字数を16〜20文字以上にすれば十分な安全性を確保できます。利便性と安全性のバランスで判断してください。

パスワード強度の目安を教えてください

本ツールは「非常に弱い（スコア0）」〜「非常に強い（スコア4）」の5段階で評価します。スコア3（強い）: 英大小・数字・記号を含む12文字以上。スコア4（非常に強い）: 4種類全部・16文字以上・連続した同一文字なし。一般的な個人利用ではスコア3以上、重要サービスはスコア4を目標にしてください。

オフライン生成は本当に安全ですか？

本ツールはすべての処理をブラウザ内で完結させています。ページ読み込み後はオフライン状態にしても動作します（Service Worker なし）。生成したパスワードはサーバーに送信されず、ローカルストレージにも保存されません。乱数生成に使用する Web Crypto API（crypto.getRandomValues）はブラウザが提供する暗号学的に安全な擬似乱数生成器（CSPRNG）で、Math.random() の数千倍以上の予測困難性があります。

生成後、どこに保存すればいいですか？

最も推奨されるのはパスワードマネージャー（Bitwarden・1Password・Google パスワードマネージャーなど）への保存です。ブラウザの保存機能も手軽ですが、デバイス紛失時のリスクがあります。テキストファイルやメモ帳への平文保存・メール下書き保存はセキュリティリスクがあるため避けてください。紙への書き出しは、安全な場所（金庫など）に保管する場合に限り許容されます。

毎月パスワードを変更すべきですか？

NIST SP 800-63B（2017年改訂）の最新ガイドラインでは「定期的な強制変更は推奨しない」と明記されています。理由は「変更を強制すると「Password1！→Password2！→…」のような予測可能なパターンになりやすいため」です。変更すべきタイミングは「サービスから漏洩通知が来たとき」「不審なログインを検知したとき」「他サービスの漏洩で同じパスワードを使っていたとき」です。

パスワードと暗証番号の違いは？

パスワードは通常テキスト入力で英数字・記号を使う認証情報です。暗証番号（PIN）は数字のみで、桁数が少なく（4〜6桁）、試行回数制限・物理的セキュリティ（ATM・ドア）と組み合わせて使われます。PINはオフライン攻撃には弱いですが、試行回数制限がある環境では実用的な安全性を持ちます。本ツールはパスワード用ですが、数字のみ設定で数字のみのランダム文字列も生成できます。

パスフレーズとパスワードどちらが強い？

パスフレーズ（無関係な単語を4〜5個つなげた長いパスワード）と従来のランダムパスワードでは、同じエントロピー（情報量）の場合は同等の強度です。パスフレーズの利点は「覚えやすい」こと。例: 「犬-月-青空-走れ-23」（14文字）は、一見複雑な「aB3#kL9!」（8文字）より数百万倍強力です。ただし辞書攻撃には注意が必要で、ランダムに選んだ無関係な単語の組み合わせが重要です。

二段階認証（2FA）があればパスワードは何でもいい？

いいえ。2FA はパスワードが漏洩した場合の追加防御線ですが、パスワード自体が弱いと様々なリスクがあります。セッションハイジャック・フィッシングサイトでの2FAバイパス・2FAを設定していないデバイスからのアクセス等が考えられます。「強力なパスワード + 2FA」の組み合わせが最も安全です。2FAが使えるサービスでは必ず有効化した上で、パスワードも強固に保ってください。

生成したパスワードが推測されることはありますか？

本ツールが使用するWeb Crypto API（crypto.getRandomValues）は暗号学的に安全な乱数（CSPRNG）を使用します。現在のコンピュータ技術では、このAPIが生成する乱数のパターンを予測することは計算量的に不可能です。ただし、生成後のパスワードをメモ・スクリーンショット・コピー履歴から盗まれるリスクはゼロではありません。生成後は速やかにパスワードマネージャーに登録し、クリップボードをクリアする習慣をつけましょう。

パスワード生成ツール（無料・強度チェック付き）

登録不要無料ブラウザ完結

このツールの特徴: Web Crypto APIで暗号学的に安全な乱数を使用。大文字・小文字・数字・記号・カスタム文字を組み合わせ、4〜128文字のパスワードをブラウザ内で即生成。強度5段階+推定解読時間表示・一括生成20個・CSVダウンロード対応。完全無料・登録不要・サーバー送信なし。

Tr7#mK9pLq2@nB4x

非常に強い解読推定: 数十億年以上

プリセット:

文字数: 16文字

4 128文字

文字種

カスタム文字列（入力すると上記設定を上書き）

使い方ガイド（各機能の詳細）

プリセットで即設定

「弱（8文字）」「標準（16文字）」「強（24文字）」「最強（32文字）」のプリセットボタンで、よく使う設定をワンクリックで切り替えられます。銀行・SNS・業務システムなど用途に応じて使い分けましょう。

紛らわしい文字の除外

「紛らわしい文字を除外」にチェックを入れると、視覚的に区別しにくい 0（ゼロ）と O（大文字オー）、1（いち）と l（小文字エル）と I（大文字アイ）が文字列から除外されます。手打ち入力が必要な場面で便利です。

カスタム文字列

「カスタム文字列」欄に使用したい文字を直接入力すると、その文字のみでパスワードが生成されます。サービスごとに使用できる記号が異なる場合などに活用してください。カスタム文字列入力中は他のチェックボックスは無効になります。

一括生成・CSVダウンロード

「一括生成」タブで5・10・20個のパスワードをまとめて生成できます。「CSVダウンロード」ボタンで全パスワードをCSVファイルに保存できます。複数アカウントの初期パスワード設定や管理者作業に便利です。

強度メーターと推定解読時間

生成したパスワードの強度を「非常に弱い」〜「非常に強い」の5段階で即時評価。推定解読時間は総当たり攻撃（毎秒10億回試行）を仮定した概算値です。「非常に強い（数千年以上）」を目安にしてください。

セキュリティ：ブラウザ完結とWeb Crypto API

本ツールはすべての処理をブラウザ内で完結させています。生成したパスワードはサーバーに送信されません。乱数生成にはブラウザ標準の crypto.getRandomValues()（Web Crypto API）を使用しており、Math.random() よりも暗号学的に安全な乱数が得られます。

他社パスワード生成サービスとの機能比較

主要なパスワード生成ツールと本ツールを比較しました（2026年5月調査）。

サービス	最大文字数	一括生成	強度・解読時間	CSV出力	登録不要
本ツール（便利ツール集）	128文字	20個	5段階+解読時間	CSV対応	不要
LastPass パスワードジェネレーター	99文字	1個のみ	なし	なし	不要
1Password ジェネレーター	100文字	1個のみ	なし	なし	不要
random.org	32文字	100個	なし	なし	不要
LUFT パスワード生成ツール	40文字	1000個	なし	テキスト	不要
ちょっと便利帳強度チェック	生成機能なし	なし	4シナリオ詳細	なし	不要

※ 本ツールの優位点: 128文字対応・生成+強度チェック+一括+CSV を1ツールで完結・登録不要・完全無料・ブラウザ完結。

強いパスワードとは（NIST SP 800-63B 準拠解説）

NIST SP 800-63B（2017年）の主要ガイドライン

米国国立標準技術研究所（NIST）が定めたパスワードガイドライン「SP 800-63B」は、日本の金融機関・企業でも参照される国際標準です。主要ルールをまとめました。

推奨（DO）

最低8文字以上（重要システムは12〜16文字以上）
長さを優先: 複雑な記号より長いパスワードの方が安全
パスフレーズ活用: 無関係な単語を複数つなげる（例: 犬-月-青-走る）
パスワードマネージャー（Bitwarden・1Password等）で管理
サービスごとに異なるパスワードを使う

非推奨（DON'T）

定期的な強制変更（不要。漏洩時のみ変更が最新ガイドライン）
複雑すぎる記号要求（覚えられず使い回しを招く）
パスワードヒント・秘密の質問（推測されやすい）
使い回し（1サービス流出で全アカウントが危険に）
辞書単語・連続数字（123456・password 等）

文字数別・強度の目安（毎秒10億回試行の場合）

文字数	文字種（例）	組み合わせ数	推定解読時間	評価
8文字	英小文字のみ	約2千億	3分	非常に弱い
8文字	英大小+数字+記号	約6兆	6秒〜1時間	弱い
12文字	英大小+数字+記号	約4×10^23	数百万年	強い
16文字	英大小+数字+記号	約3×10^30	数十億年以上	非常に強い

※ 毎秒10億（10^9）回の総当たり攻撃を仮定した理論値。GPUクラスタによるオフライン攻撃では毎秒数十億〜数兆回に達します。

パスワード管理の基本（マネージャー・使い回し防止）

パスワードマネージャーを使うべき理由

一般的なインターネットユーザーは平均100〜200サービスのアカウントを持つと言われています。全てを異なる強力なパスワードで管理しようとすると、人間の記憶力には限界があります。パスワードマネージャーはこの問題の唯一の現実的な解決策です。

Bitwarden（無料・オープンソース）

個人利用は完全無料。オープンソースで透明性が高く、独立セキュリティ監査済み。iOS・Android・主要ブラウザ対応。日本語UI完備。

無料で始めたいならまずこれ

1Password（月額250円〜）

UI/UXが洗練されており使いやすい。旅行者モード・Watchtower（漏洩通知）・ファミリープラン対応。企業利用にも最適。

快適さ最優先ならこれ

Google パスワードマネージャー（無料）

Chromeブラウザに統合済みで追加インストール不要。Androidとの連携が特に優秀。スマホがAndroidメインならすぐ使えて便利。

すでにGoogleアカウントを使っているなら

使い回しが危険な理由: クレデンシャルスタッフィング攻撃

「クレデンシャルスタッフィング」とは、どこかで流出したID・パスワードの組み合わせを他のサービスに自動で試す攻撃手法です。あなたのパスワードが1サービスで漏洩すると、同じパスワードを使っている全サービスが危険にさらされます。2023年時点で流出済みパスワードデータベースには100億件以上が含まれると報告されています。

Have I Been Pwned で確認: haveibeenpwned.com にメールアドレスを入力すると、過去の流出インシデントに含まれているかどうかを無料で確認できます。

よくある質問（FAQ）10選

パスワードは何文字必要ですか？: NIST SP 800-63B（最新ガイドライン）では最低8文字を推奨していますが、現在の攻撃技術を考えると一般サービスで12文字以上、銀行・業務系で16文字以上が安全圏です。GPUクラスタを使ったオフライン攻撃では8文字程度のパスワードは数時間〜数日で解析される可能性があります。本ツールのデフォルト設定（16文字・英大小+数字+記号）は現実的な強度として十分です。
記号は必須ですか？: 記号を加えると組み合わせ数が増えますが、NIST の最新ガイドラインでは「記号を強制することで覚えられないパスワードを作り、使い回しを招く」として記号の強制要求を非推奨としています。記号が使えないサービスでも、文字数を16〜20文字以上にすれば十分な安全性を確保できます。利便性と安全性のバランスで判断してください。
パスワード強度の目安を教えてください: 本ツールは「非常に弱い（スコア0）」〜「非常に強い（スコア4）」の5段階で評価します。スコア3（強い）: 英大小・数字・記号を含む12文字以上。スコア4（非常に強い）: 4種類全部・16文字以上・連続した同一文字なし。一般的な個人利用ではスコア3以上、重要サービスはスコア4を目標にしてください。
オフライン生成は本当に安全ですか？: 本ツールはすべての処理をブラウザ内で完結させています。ページ読み込み後はオフライン状態にしても動作します（Service Worker なし）。生成したパスワードはサーバーに送信されず、ローカルストレージにも保存されません。乱数生成に使用する Web Crypto API（crypto.getRandomValues）はブラウザが提供する暗号学的に安全な擬似乱数生成器（CSPRNG）で、Math.random() の数千倍以上の予測困難性があります。
生成後、どこに保存すればいいですか？: 最も推奨されるのはパスワードマネージャー（Bitwarden・1Password・Google パスワードマネージャーなど）への保存です。ブラウザの保存機能も手軽ですが、デバイス紛失時のリスクがあります。テキストファイルやメモ帳への平文保存・メール下書き保存はセキュリティリスクがあるため避けてください。紙への書き出しは、安全な場所（金庫など）に保管する場合に限り許容されます。
毎月パスワードを変更すべきですか？: NIST SP 800-63B（2017年改訂）の最新ガイドラインでは「定期的な強制変更は推奨しない」と明記されています。理由は「変更を強制すると「Password1！→Password2！→…」のような予測可能なパターンになりやすいため」です。変更すべきタイミングは「サービスから漏洩通知が来たとき」「不審なログインを検知したとき」「他サービスの漏洩で同じパスワードを使っていたとき」です。
パスワードと暗証番号の違いは？: パスワードは通常テキスト入力で英数字・記号を使う認証情報です。暗証番号（PIN）は数字のみで、桁数が少なく（4〜6桁）、試行回数制限・物理的セキュリティ（ATM・ドア）と組み合わせて使われます。PINはオフライン攻撃には弱いですが、試行回数制限がある環境では実用的な安全性を持ちます。本ツールはパスワード用ですが、数字のみ設定で数字のみのランダム文字列も生成できます。
パスフレーズとパスワードどちらが強い？: パスフレーズ（無関係な単語を4〜5個つなげた長いパスワード）と従来のランダムパスワードでは、同じエントロピー（情報量）の場合は同等の強度です。パスフレーズの利点は「覚えやすい」こと。例: 「犬-月-青空-走れ-23」（14文字）は、一見複雑な「aB3#kL9!」（8文字）より数百万倍強力です。ただし辞書攻撃には注意が必要で、ランダムに選んだ無関係な単語の組み合わせが重要です。
二段階認証（2FA）があればパスワードは何でもいい？: いいえ。2FA はパスワードが漏洩した場合の追加防御線ですが、パスワード自体が弱いと様々なリスクがあります。セッションハイジャック・フィッシングサイトでの2FAバイパス・2FAを設定していないデバイスからのアクセス等が考えられます。「強力なパスワード + 2FA」の組み合わせが最も安全です。2FAが使えるサービスでは必ず有効化した上で、パスワードも強固に保ってください。
生成したパスワードが推測されることはありますか？: 本ツールが使用するWeb Crypto API（crypto.getRandomValues）は暗号学的に安全な乱数（CSPRNG）を使用します。現在のコンピュータ技術では、このAPIが生成する乱数のパターンを予測することは計算量的に不可能です。ただし、生成後のパスワードをメモ・スクリーンショット・コピー履歴から盗まれるリスクはゼロではありません。生成後は速やかにパスワードマネージャーに登録し、クリップボードをクリアする習慣をつけましょう。