パスワード強度チェッカー(無料・漏洩チェック付き)
パスワードの強度をリアルタイム判定。5段階評価・エントロピーbits・推定クラック時間(オンライン/オフライン)・問題点指摘・改善提案・Have I Been Pwnedによる漏洩チェック(k-anonymity方式)・入力履歴の重複警告に対応。完全無料・登録不要・ブラウザ完結。
最終更新:2026年5月18日
入力履歴(最大10件・LocalStorage)
履歴はありません
Have I Been Pwned(漏洩チェック)の仕組み
k-anonymity方式でプライバシーを保護
本ツールのパスワード漏洩チェックは、Have I Been Pwned(HIBP)API を k-anonymity 方式で使用します。これにより、パスワード全体をサーバーに送信することなく漏洩チェックが可能です。
入力されたパスワードをブラウザ内でSHA-1ハッシュ化します(例: 5BAA61E4C9B93F3F0682250B6CF8331B7EE68FD8)。
ハッシュの先頭5文字(例: 5BAA6)のみをHIBP APIに送信します。パスワード本体もハッシュ全体も送信しません。
APIは先頭5文字に一致する数百件のハッシュ候補を返します。ブラウザ内で残りのハッシュを照合し、一致があれば漏洩済みと判定します。
強度スコアの判定基準
本ツールの強度スコアは以下の基準で判定されます。
辞書単語1語・数字のみ・4〜6文字などのパスワード。オンライン攻撃でも数分〜数時間で突破される危険性があります。今すぐ変更してください。
8文字英小文字のみなど。GPUを使ったオフライン攻撃では数時間〜数日で突破されます。重要なサービスには使用しないでください。
8文字英大小+数字+記号など。一般的なオフライン攻撃では数ヶ月〜数年かかります。重要なサービスでは強化推奨。
12文字以上・英大小+数字+記号など。現実的な攻撃に対して十分な強度です。一般的なWebサービスに推奨されるレベルです。
16文字以上・英大小+数字+記号など。現在の技術では事実上解読不可です。銀行・業務システム・クラウド管理等の重要サービスに推奨します。
やりがちなパスワードの弱点
辞書単語・人名・地名
「password」「dragon」「tokyo」など辞書に載っている単語や一般的な名前は、辞書攻撃で即座に突破されます。本ツールでは一般的な辞書語を検出し警告します。
悪い例: tokyo2024 → 改善例: t0Ky0!2024#mZ
連続した文字・キーボードパターン
「123456」「qwerty」「abcdef」などの連続パターンは最も一般的な弱いパスワードです。10億件のデータベースに必ず含まれています。
悪い例: qwerty123 → 改善例: K9#mLq2@pN8!
個人情報の埋め込み
誕生日・電話番号・名前などの個人情報はソーシャルエンジニアリングで推測されやすく、ターゲット型攻撃に対して特に脆弱です。
悪い例: tanaka1990 → 改善例: 犬-月-青空-走れ-23(パスフレーズ)
記号の置き換えパターン
「a→@」「e→3」「i→!」などの単純な置き換えは攻撃者も知っています。「p@ssw0rd」は「password」よりわずかに強い程度です。
悪い例: p@ssw0rd → 改善例: pX7!qR9#mW2@
安全なパスワードを作るコツ
NIST SP 800-63B 準拠のベストプラクティス
長さを最優先に
文字数を1文字増やすだけでエントロピーが大幅に増加します。最低12文字、重要サービスは16文字以上を目標にしましょう。
完全にランダムに
予測可能なパターンを使わず、完全にランダムな文字列を使いましょう。パスワード生成ツールで暗号学的に安全なパスワードを作成できます。
パスワードマネージャーで管理
Bitwarden(無料)・1Password(有料)などのパスワードマネージャーを使えば、覚えられないほど強力なパスワードを安全に管理できます。
サービスごとに別々に
同じパスワードを複数のサービスに使い回すと、1つのサービスで漏洩した際に全てのアカウントが危険にさらされます。
二段階認証を必ず設定
パスワードが強力でも、二段階認証(2FA)と組み合わせることで安全性が飛躍的に向上します。特に重要なサービスでは必ず設定しましょう。
定期変更より漏洩検知
NIST SP 800-63Bでは定期的な強制変更は非推奨。漏洩通知(Have I Been Pwned・各サービスのアラート)があった時だけ変更するのが正しい対応です。
よくある質問(FAQ)
- このツールにパスワードを入力しても安全ですか?
- 安全です。本ツールはすべての処理をブラウザ内で完結させており、入力されたパスワードはサーバーに送信されません。強度計算・エントロピー計算・辞書チェックは全てブラウザ内のJavaScriptで実行されます。漏洩チェック(HIBP連携)は k-anonymity 方式を採用しており、パスワードのSHA-1ハッシュの先頭5文字のみをAPIに送信します。パスワード本体もハッシュ全体も外部に送信されません。
- k-anonymity方式とは何ですか?
- k-anonymity(k-匿名性)方式は、プライバシーを保護しながらデータベースと照合する技術です。本ツールでは、パスワードのSHA-1ハッシュ(40文字)の先頭5文字のみをHave I Been Pwned APIに送信します。APIは先頭5文字が一致するハッシュ候補(数百件)を返し、残りのハッシュの照合はブラウザ内で行います。これによりパスワード全体が特定されることなく漏洩チェックが可能です。
- エントロピーが高いパスワードは絶対に安全ですか?
- エントロピーはパスワードの数学的な強度を表しますが、それだけが全てではありません。100bits以上のエントロピーがあっても、(1)フィッシング詐欺でパスワードを直接騙し取られる、(2)キーロガーで入力を盗まれる、(3)パスワードを平文保存しているサービスから漏洩する、(4)デバイスが物理的に盗まれる、といったリスクは防げません。エントロピー + 二段階認証 + パスワードマネージャーの組み合わせが最善策です。
- 「漏洩済み」と表示されたらどうすればいいですか?
- 漏洩済みと判定されたパスワードを使っているサービスで、すぐにパスワードを変更してください。同じパスワードを複数サービスで使い回している場合は全てのサービスで変更が必要です。新しいパスワードはパスワード生成ツールで作成することをお勧めします。また、漏洩したサービスで不審なアクティビティがないか確認し、必要に応じてサポートに連絡してください。
- 「漏洩チェック中」が長時間続く場合はどうすればいいですか?
- Have I Been Pwned APIへのアクセスに失敗している可能性があります。(1)インターネット接続を確認する、(2)VPNを使用している場合はオフにしてみる、(3)しばらく待ってから再度試す、をお試しください。APIが利用できない場合でも、パスワードの強度スコア・エントロピー・改善提案は通常通り利用できます。
- パスワードの強度スコアはどう計算されていますか?
- 本ツールはエントロピー(情報量・bits)をベースに強度を計算します。エントロピー = log2(文字種数) × 文字数 で算出され、35bits未満: 危険、35〜50bits: 弱い、50〜65bits: 普通、65〜80bits: 強い、80bits以上: 最強と判定します。さらに辞書語・連続文字・繰り返しパターンを検出してスコアを調整します。zxcvbnライブラリ相当の判定精度を自前実装しています。
- クラック時間はどう計算されていますか?
- クラック時間はエントロピーから算出した「総試行回数」÷「1秒あたりの試行回数」で計算します。オンライン攻撃(毎秒100回:ログイン試行制限を考慮)とオフライン攻撃(毎秒10億回:盗んだデータベースに対するGPUクラスタ攻撃)の2パターンを表示します。あくまで理論値であり、実際の攻撃時間は攻撃者の持つリソースや手法によって大きく異なります。
- パスワードを変更した後、履歴から削除できますか?
- はい。「履歴をクリア」ボタンをクリックすると、ブラウザのLocalStorageに保存された入力履歴を全て削除できます。個別の履歴だけを削除したい場合は、各履歴アイテムの削除ボタンを使ってください。なお、履歴データはご利用のブラウザのみに保存されており、サーバーには送信されていません。
- パスワードの使い回しはどの程度のリスクがありますか?
- 非常に高いリスクがあります。「クレデンシャルスタッフィング」と呼ばれる攻撃手法では、どこかで流出したID・パスワードの組み合わせを他のサービスに自動で試します。2024年時点で流出済みパスワードデータベースには100億件以上が含まれると報告されており、使い回しているパスワードが流出データに含まれている可能性は相当高いです。Bitwardenなどのパスワードマネージャーで各サービスに異なるパスワードを設定することを強く推奨します。
- パスワードの強度が「最強」なら二段階認証は不要ですか?
- いいえ、二段階認証は必須です。強力なパスワードでも防げないリスクがあります:(1)フィッシング詐欺でパスワードを直接騙し取られる、(2)サービス側のデータベースが平文保存されており漏洩する、(3)デバイスに入ったマルウェアでパスワードが盗まれる。二段階認証はこれらのリスクに対する追加の防衛線となります。Google Authenticator・Authy・Passkey等の認証アプリをぜひ活用してください。
参考文献・技術仕様の根拠
本ツールのパスワード強度評価基準は、以下の公的ガイドラインに準拠しています。
-
NIST SP 800-63B: Digital Identity Guidelines - Authentication and Lifecycle Management
米国国立標準技術研究所(NIST)が定めるパスワード推奨ポリシー。最低8文字・複雑度強制の廃止・侵害済みパスワードリストとの照合を推奨。
https://pages.nist.gov/800-63-3/sp800-63b.html (参照: 2026-05-20) -
OWASP Password Storage Cheat Sheet
パスワードの安全な保存・強度要件に関するOWASPベストプラクティス。bcrypt・Argon2等のアルゴリズム選定基準も記載。
https://cheatsheetseries.owasp.org/cheatsheets/Password_Storage_Cheat_Sheet.html (参照: 2026-05-20) -
Have I Been Pwned
約130億件以上の漏洩パスワードデータベース。NIST SP 800-63Bが推奨する「侵害済みパスワード照合」の参考データソース。
https://haveibeenpwned.com/Passwords (参照: 2026-05-20)