パスワード生成ツール(無料・エントロピー表示・パスフレーズ対応)
パスワードを無料で即生成。4〜128文字・文字種自由設定・強度メーター・エントロピーbits・推定クラック時間・パスフレーズモード・一括20個生成・CSV出力に対応。Web Crypto APIで暗号学的に安全な乱数を使用。登録不要・ブラウザ完結・サーバー送信なし。
最終更新:2026年5月18日
パスフレーズは覚えやすさと安全性を両立する方式です。4語+区切り+数字の組み合わせで一般的なランダムパスワード(12文字)と同等以上のエントロピーを実現します。
設定(文字数・文字種)は「ランダム生成」タブと共有されます。
- 「一括生成」ボタンを押してください
使い方ガイド(各機能の詳細)
プリセットで即設定
「短(8文字)」「中(16文字)」「長(24文字)」「最強(32文字)」のプリセットボタンで、よく使う設定をワンクリックで切り替えられます。銀行・SNS・業務システムなど用途に応じて使い分けましょう。
パスフレーズモード(覚えやすい+強力)
「パスフレーズ」タブでは、無関係な日本語/英語単語を組み合わせたパスワードを生成します。例: 犬-月-青空-走れ-23。ランダム文字列より覚えやすく、NIST SP 800-63Bでも推奨されています。
エントロピー(bits)の見方
エントロピーはパスワードの「情報量」を表します。50bits未満: 脆弱、60bits以上: 実用レベル、80bits以上: 非常に強力、100bits以上: 事実上解読不可。一般的なWebサービスでは70〜80bitsを目安にしてください。
紛らわしい文字の除外
「紛らわしい文字を除外」にチェックを入れると、0(ゼロ)とO(大文字オー)、1(いち)とl(小文字エル)とI(大文字アイ)が文字列から除外されます。手打ち入力が必要な場面で便利です。
一括生成・CSVダウンロード
件数スライダー(1〜20個)で同時生成数を設定し「一括生成」ボタンで生成。「CSVダウンロード」ボタンで全パスワードをCSVファイルに保存できます。複数アカウントの初期パスワード設定や管理者作業に便利です。
セキュリティ:ブラウザ完結とWeb Crypto API
本ツールはすべての処理をブラウザ内で完結させています。生成したパスワードはサーバーに送信されません。乱数生成には crypto.getRandomValues()(Web Crypto API)を使用しており、Math.random() よりも暗号学的に安全な乱数が得られます。
他社パスワード生成サービスとの機能比較
主要なパスワード生成ツールと本ツールを比較しました(2026年5月調査)。
| サービス | 最大文字数 | パスフレーズ | エントロピー | 一括生成 | CSV出力 |
|---|---|---|---|---|---|
| 本ツール(tools-navi.jp) | 128文字 | 対応 | bits表示 | 20個 | CSV対応 |
| LastPass パスワードジェネレーター | 99文字 | 対応 | なし | 1個のみ | なし |
| 1Password ジェネレーター | 100文字 | 対応 | なし | 1個のみ | なし |
| random.org | 32文字 | なし | なし | 100個 | なし |
| LUFT パスワード生成ツール | 40文字 | なし | なし | 1000個 | テキスト |
| ちょっと便利帳 | 生成機能なし | なし | なし | なし | なし |
※ 本ツールの優位点: 128文字対応・エントロピーbits表示・パスフレーズモード・生成+強度チェック+一括+CSVを1ツールで完結・完全無料・ブラウザ完結。
強いパスワードとは(NIST SP 800-63B 準拠解説)
NIST SP 800-63B(2017年)の主要ガイドライン
米国国立標準技術研究所(NIST)が定めたパスワードガイドライン「SP 800-63B」は、日本の金融機関・企業でも参照される国際標準です。主要ルールをまとめました。
推奨(DO)
- 最低8文字以上(重要システムは12〜16文字以上)
- 長さを優先: 複雑な記号より長いパスワードの方が安全
- パスフレーズ活用: 無関係な単語を複数つなげる
- パスワードマネージャー(Bitwarden・1Password等)で管理
- サービスごとに異なるパスワードを使う
非推奨(DON'T)
- 定期的な強制変更(不要。漏洩時のみ変更が最新ガイドライン)
- 複雑すぎる記号要求(覚えられず使い回しを招く)
- パスワードヒント・秘密の質問(推測されやすい)
- 使い回し(1サービス流出で全アカウントが危険に)
- 辞書単語・連続数字(123456・password等)
文字数別・エントロピーとクラック時間の目安
| 文字数 | 文字種 | エントロピー | オンライン攻撃(毎秒100回) | オフライン攻撃(毎秒10億回) |
|---|---|---|---|---|
| 8文字 | 英小文字のみ | 約37.6bits | 数週間 | 約3分 |
| 8文字 | 英大小+数字+記号 | 約52.4bits | 数年 | 約1時間 |
| 12文字 | 英大小+数字+記号 | 約78.6bits | 数百万年 | 数十万年 |
| 16文字 | 英大小+数字+記号 | 約104.8bits | 事実上不可 | 事実上不可 |
※ エントロピー = log2(文字種数) × 文字数。オフライン攻撃は毎秒10億回試行を仮定した理論値。
シーン別推奨設定(銀行 / SNS / 業務 / EC)
銀行・金融サービス
- 推奨文字数
- 16文字以上
- エントロピー目標
- 100bits以上
- 文字種
- 大文字・小文字・数字・記号(全て有効)
最も攻撃対象になりやすいサービス。最強プリセット(32文字)の使用を推奨。パスワードマネージャーと必ず組み合わせてください。
SNS(X・Instagram等)
- 推奨文字数
- 12〜16文字
- エントロピー目標
- 80bits以上
- MFA
- 認証アプリ(TOTP)を必ず有効化
アカウント乗っ取りで友人への詐欺DM送信リスクがあります。「長(24文字)」プリセット推奨。二段階認証を必ず設定してください。
業務システム・クラウド
- 推奨文字数
- 16〜24文字
- エントロピー目標
- 90bits以上
- 管理
- 企業向けパスワードマネージャー必須
一人のアカウント漏洩が組織全体のリスクに。ITセキュリティポリシーに従いつつ、最低16文字を目安にしてください。
ECサイト・通販
- 推奨文字数
- 12〜16文字
- エントロピー目標
- 75bits以上
- 注意
- クレジットカード情報紐付きサービスは特に重要
カード情報が登録されているECサイトは銀行と同等の危険度。サービスごとに必ず異なるパスワードを使用してください。
パスワード管理の基本(マネージャー・使い回し防止)
パスワードマネージャーを使うべき理由
一般的なインターネットユーザーは平均100〜200サービスのアカウントを持つと言われています。全てを異なる強力なパスワードで管理しようとすると、人間の記憶力には限界があります。パスワードマネージャーはこの問題の唯一の現実的な解決策です。
Bitwarden(無料・オープンソース)
個人利用は完全無料。オープンソースで透明性が高く、独立セキュリティ監査済み。iOS・Android・主要ブラウザ対応。日本語UI完備。
無料で始めたいならまずこれ
1Password(月額250円〜)
UI/UXが洗練されており使いやすい。旅行者モード・Watchtower(漏洩通知)・ファミリープラン対応。企業利用にも最適。
快適さ最優先ならこれ
Google パスワードマネージャー(無料)
Chromeブラウザに統合済みで追加インストール不要。Androidとの連携が特に優秀。スマホがAndroidメインならすぐ使えて便利。
すでにGoogleアカウントを使っているなら
使い回しが危険な理由: クレデンシャルスタッフィング攻撃
「クレデンシャルスタッフィング」とは、どこかで流出したID・パスワードの組み合わせを他のサービスに自動で試す攻撃手法です。あなたのパスワードが1サービスで漏洩すると、同じパスワードを使っている全サービスが危険にさらされます。2024年時点で流出済みパスワードデータベースには100億件以上が含まれると報告されています。
よくある質問(FAQ)
- パスワードは何文字必要ですか?
- NIST SP 800-63B(最新ガイドライン)では最低8文字を推奨していますが、現在の攻撃技術を考えると一般サービスで12文字以上、銀行・業務系で16文字以上が安全圏です。エントロピーで言えば60bits以上が実用レベル、80bits以上が非常に強力です。本ツールのデフォルト設定(16文字・英大小+数字+記号)は現実的な強度として十分です。
- エントロピー(bits)とは何ですか?
- エントロピーは「パスワードの情報量・予測困難さ」を示す指標で、log2(文字種数) × 文字数で計算されます。例えば94種類の文字から16文字のパスワードを作ると log2(94)×16 ≈ 104bits になります。50bits未満は脆弱、60bits以上は実用レベル、80bits以上で非常に強力、100bits以上で事実上解読不可とされています。
- パスフレーズとランダムパスワードはどちらが強い?
- パスフレーズ(無関係な単語を4〜5個つなげた長いパスワード)と従来のランダムパスワードでは、同じエントロピーの場合は同等の強度です。パスフレーズの利点は「覚えやすい」こと。例えば「犬-月-青空-走れ-23」(14文字)は、一見複雑な「aB3#kL9!」(8文字)より数百万倍強力です。ただし辞書攻撃対策として、完全にランダムな無関係な単語の組み合わせが重要です。
- オフライン生成は本当に安全ですか?
- 本ツールはすべての処理をブラウザ内で完結させています。ページ読み込み後はオフライン状態にしても動作します。生成したパスワードはサーバーに送信されず、ローカルストレージにも保存されません。乱数生成に使用するWeb Crypto API(crypto.getRandomValues)はブラウザが提供する暗号学的に安全な擬似乱数生成器(CSPRNG)で、Math.random()の数千倍以上の予測困難性があります。
- 生成後、どこに保存すればいいですか?
- 最も推奨されるのはパスワードマネージャー(Bitwarden・1Password・Google パスワードマネージャーなど)への保存です。ブラウザの保存機能も手軽ですが、デバイス紛失時のリスクがあります。テキストファイルやメモ帳への平文保存・メール下書き保存はセキュリティリスクがあるため避けてください。
- 毎月パスワードを変更すべきですか?
- NIST SP 800-63B(2017年改訂)の最新ガイドラインでは「定期的な強制変更は推奨しない」と明記されています。変更を強制すると「Password1!→Password2!→…」のような予測可能なパターンになりやすいためです。変更すべきタイミングは「サービスから漏洩通知が来たとき」「不審なログインを検知したとき」のみです。
- 記号は必須ですか?
- 記号を加えると組み合わせ数が増えますが、NISTの最新ガイドラインでは「記号を強制することで覚えられないパスワードを作り、使い回しを招く」として記号の強制要求を非推奨としています。記号が使えないサービスでも、文字数を16〜20文字以上にすれば十分な安全性を確保できます。
- 二段階認証(2FA)があればパスワードは何でもいい?
- いいえ。2FAはパスワードが漏洩した場合の追加防御線ですが、パスワード自体が弱いと様々なリスクがあります。セッションハイジャック・フィッシングサイトでの2FAバイパス・2FAを設定していないデバイスからのアクセス等が考えられます。「強力なパスワード + 2FA」の組み合わせが最も安全です。
- 英数字のみ(記号なし)のパスワードを作れますか?
- はい。文字種チェックボックスで「記号」のチェックを外すと、英大文字・小文字・数字のみのパスワードを生成できます。記号が使えないサービス(一部の金融機関等)でも文字数を増やすことで十分な強度を確保できます。英数字62種類×16文字でエントロピーは約95bitsになります。
- 桁数指定のランダムパスワードを作れますか?
- はい。スライダーで4〜128文字まで細かく桁数指定できます。「短(8文字)」「中(16文字)」「長(24文字)」「最強(32文字)」のプリセットボタンも利用できます。カスタム文字列欄に使用したい文字のみを入力すると、その文字種のみから指定桁数のパスワードを生成することも可能です。
参考文献・技術仕様の根拠
本ツールのパスワード強度評価・推奨ポリシーは、以下の公的機関・技術仕様に基づいています。
-
NIST SP 800-63B: Digital Identity Guidelines - Authentication and Lifecycle Management
米国国立標準技術研究所(NIST)が定めるデジタルアイデンティティのガイドライン。パスワード長・複雑度・再利用禁止などの推奨ポリシーを規定。
https://pages.nist.gov/800-63-3/sp800-63b.html (参照: 2026-05-20) -
OWASP Password Storage Cheat Sheet
Open Web Application Security Project(OWASP)によるパスワードの安全な保存・強度要件に関するベストプラクティス集。
https://cheatsheetseries.owasp.org/cheatsheets/Password_Storage_Cheat_Sheet.html (参照: 2026-05-20) -
OWASP Authentication Cheat Sheet
認証実装のベストプラクティス。パスワードポリシー・ブルートフォース対策・アカウントロックアウトの推奨設定を解説。
https://cheatsheetseries.owasp.org/cheatsheets/Authentication_Cheat_Sheet.html (参照: 2026-05-20) -
W3C Web Cryptography API
本ツールの乱数生成に使用する crypto.getRandomValues() の仕様。暗号学的に安全な擬似乱数生成器(CSPRNG)の標準定義。
https://www.w3.org/TR/WebCryptoAPI/ (参照: 2026-05-20)