パスワード強度チェック
パスワードを入力すると、長さ・文字種・推定エントロピーから強度をその場で推定し、直すところを教えます。入力はどこにも送信されず、評価はお使いの端末内だけで行われます。通信は一切発生しません。
入力したパスワードは外に出ません。評価は端末内だけで行われます。
—
パスワード強度チェックの使い方
入力欄の上にある例(クリックで試す)のチップを押すと、サンプルがそのまま入力され、強度バーと評価が即座に表示されます。自分で入力する場合も、上の入力欄にパスワードを入力すると、入力するそばから強度バーと評価ラベル(弱い〜非常に強い)、文字数・文字種・推定エントロピーがキー入力ごとにライブ判定されます(ボタンを押す必要はありません)。改善のヒントを見ながら、より強いパスワードに整えましょう。入力はどこにも送信されず、評価はお使いの端末内だけで行われます。
なぜ長さ・文字種・辞書語の有無で強度が変わるのか、具体例で見てみましょう。たとえば password(8文字・英小文字のみ・辞書語)は、ありがちな単語そのものなので一瞬で破られ「とても弱い」と判定されます。これを Pa$$w0rd! のように記号や数字を混ぜても、元の単語が透けて見えるため強さはあまり上がりません。いっぽう関係のない語をつないだ correct-horse-battery-staple は、28文字あって辞書語の単純な並びでもないため推定エントロピーが大きく、「非常に強い」と判定されます。「短い+記号」より「長い+ありがちでない」ほうが効く、ということが数値で確かめられます。
- 長さ:いちばん効くのは長さです。12文字以上、できれば16文字以上を目安にしましょう。
- 文字種:英小文字・英大文字・数字・記号を混ぜると、総当たりの空間が広がります。
- 推定エントロピー:推測されにくさをbitで表した目安です。大きいほど強くなります。
- 表示/非表示:右側のボタンで入力中のパスワードの表示を切り替えられます。
こんな場面で便利です
- 新しいアカウントを作るときに、設定するパスワードが十分強いか確かめたいとき
- 使い回しがちな短いパスワードを、もっと強いものに見直したいとき
- パスワードマネージャーで生成した文字列の強さをざっと把握したいとき
- 家族やチームに「強いパスワードとは何か」を見せながら説明したいとき
強いパスワードのコツ
- 短いパスワードに記号を足すより、長くするほうが効果的です。
- 関係のない単語をいくつかつないだ「パスフレーズ」は、長くて覚えやすく強くなります。
- 「password」「123456」「qwerty」や名前・誕生日など、ありがちな文字列は避ける。
- サービスごとに別のパスワードを使い、パスワードマネージャーで管理すると安全です。
よくある質問
入力したパスワードはサーバーに送信されますか?
いいえ。強度の評価はすべてお使いのブラウザ内で行われ、入力したパスワードがサーバーに送信・保存されることはありません。通信も発生しないため、安心してご利用いただけます。
強度はどうやって判定していますか?
パスワードの長さ、含まれる文字種(英小文字・英大文字・数字・記号)の数、推定エントロピー(長さ×文字種空間のlog2)を計算し、さらに短すぎ・単一文字種・連続や反復・「password」などのありがちな文字列といった弱点を簡易検出して、5段階のラベルで表示します。
エントロピー(bits)とは何ですか?
パスワードの推測されにくさを情報量(bit)で表した目安です。値が大きいほど総当たりに強くなります。一般に60bits以上で十分強い、80bits以上でかなり強いとされます。あくまで上限の目安で、ありがちなパターンを含む場合は実際の強度はこれより低くなります。