「password123」「tanaka1985」「愛犬の名前+生年月日」――
こうしたパスワードを使い続けていませんか。
実はこれらは数秒〜数分で破られる可能性のある弱いパスワードです。
一方で「強いパスワード」と言われる「K7$pZx9!mQ@vN3wL」のような文字列は、覚えるのが大変。
この記事では、2026年時点のセキュリティ基準で本当に強いパスワードとは何か、そしてそれを無理なく運用する方法を解説します。
「強いパスワード」の現代的な定義
長さが最も重要(最低16文字、推奨20文字以上)
かつては「英数記号を混ぜれば8文字でOK」と言われていましたが、それは20年前の話。 現代のコンピューターは1秒間に数兆回のパスワード試行(ブルートフォース攻撃)が可能です。8文字の英数字パスワードは、数時間〜数日で破られます。
現在の推奨は16文字以上。20文字超なら今後10年は安全圏です。長さはセキュリティに対する最強の武器です。
文字種の混在
英大文字・英小文字・数字・記号の4種類を混ぜることで、可能な組み合わせ数(パターン)が指数関数的に増加します。たとえば16文字すべて小文字(26文字種)だと約 8×10²² パターン、4種混合(94文字種)だと約 4×10³¹ パターンと、約10万倍違います。
予測可能な要素を含めない
辞書に載っている単語、誕生日、家族の名前、ペットの名前、住所、電話番号――これらは「辞書攻撃」「総当たり攻撃」で簡単に試されます。SNSなどで本人情報を集めて推測する手法も実在します。パスワードは一切の意味を持たないランダム文字列であるべき。
Keyly で強いパスワードを生成
暗号学的に安全な乱数で、長さ・文字種・除外ルールを自由に設定。完全無料、登録不要。
パスワード強度の目安
16文字 × 4文字種混合のパスワードを総当たりで破るのに必要な時間(2026年時点):
- 一般的なPC:約 3×10²² 年
- ハイエンドGPUクラスタ:約 3×10¹⁸ 年
- 仮想的な量子コンピューター:それでも数百年
つまり16文字以上の完全ランダムなパスワードは、現実的に破れません。一方で:
- 8文字の英数字のみ:約 1日
- 10文字の英数字のみ:約 数年
- 「password」+ 数字4桁:数秒(辞書攻撃)
覚えなくていい:パスワードマネージャーの利用
現代のセキュリティでは、パスワードを覚えるという発想自体を捨てるのが主流です。サービスごとにすべて異なる、長くてランダムなパスワードを使い、それらをすべてパスワードマネージャーに保存します。
主要なパスワードマネージャー
- 1Password(有料・年4,000円前後):機能・UXとも最高峰
- Bitwarden(無料・有料あり):オープンソース、信頼性高
- iCloud Keychain(Apple機器のみ・無料):iPhone/Macユーザーには十分
- Google Password Manager(Chromeで無料):手軽だが機能は限定的
- Microsoft Authenticator(Microsoftアカウントで無料)
パスワードマネージャーで覚えるのは「マスターパスワード」だけ
パスワードマネージャー本体に入るためのマスターパスワードは、絶対に忘れてはいけない唯一のパスワードです。これだけは覚える必要があります。
マスターパスワードは「ランダムな短いパスワード」より「覚えやすい長いパスフレーズ」の方が安全です。例:「四駆の鯖は冷蔵庫で踊る」のような無関係な単語の組合せ(パスフレーズ)。20文字以上あればブルートフォースには十分強く、自分にとっては記憶しやすい。
Keyly を使ったパスワード生成手順
ステップ1:Keyly を開く
https://sotto.tools/password にアクセス。開いた瞬間に1個自動生成されます。
ステップ2:長さを設定
スライダーで6〜64文字。16文字以上を推奨。重要アカウント(メイン銀行、メール)は20〜24文字。
ステップ3:文字種を選ぶ
大文字・小文字・数字・記号を選択。記号が使えないサービスもあるので、その場合は記号を外して長さを増やしてください(例:記号なしなら18文字以上)。
ステップ4:紛らわしい文字を除外(オプション)
紙にメモする、口頭で伝える場面では「紛らわしい文字を除外(0/O/o、1/l/I)」をONに。セキュリティはわずかに落ちますが、ヒューマンエラーが減ります。
ステップ5:必要なら複数同時生成
1個 / 5個 / 10個 / 25個から選択。複数のサービスで一度に新規パスワードを設定する場合に便利です。
ステップ6:コピーしてパスワードマネージャーに保存
「コピー」ボタンでクリップボードへ。すぐにパスワードマネージャーに貼り付けて保存してください。クリップボードに残し続けないのがコツ(次に何かをコピーすると上書き)。
シーン別のパスワード戦略
A. 重要度MAX(メインメール、銀行、暗号資産)
- 長さ:24文字以上
- 文字種:4種すべて
- 2要素認証:必須
- パスワードマネージャー保存+紙のバックアップ
B. 重要度高(クラウドサービス、SNSメイン)
- 長さ:20文字
- 文字種:4種すべて
- 2要素認証:強く推奨
- パスワードマネージャー保存
C. 重要度中(普段使いのWebサービス)
- 長さ:16文字
- 文字種:4種または記号なし
- パスワードマネージャー保存
D. 一時的・低重要度
- 長さ:12〜14文字
- 使い回しNGなのは変わらない(必ず別パスワード)
絶対にやってはいけないこと
1. パスワードの使い回し
1つのサービスで漏洩したパスワードは、必ず他サービスで試されます(パスワードリスト攻撃)。「他で漏洩したから自分のアカウントも全滅」は典型パターン。
2. 個人情報をパスワードに含める
誕生日、家族の名前、ペット、住所、電話番号、出身校。SNSをチェックされれば容易に推測されます。
3. パスワードを紙に書いてPC近くに貼る
「password123」と書いた付箋をモニターに貼っているドキュメンタリーが時々ニュースになります。物理的な盗撮・盗難リスクがあります。
4. メールでパスワードを送る
メールはサーバー保管・転送経路で平文閲覧可能性あり。送るなら別チャネル(電話、対面)を併用。
2要素認証(2FA)と組み合わせる
どんなに強いパスワードでも、フィッシング詐欺で引っかかれば破られます。2要素認証(2FA)を有効にすることで、パスワードが漏れても本人が持つスマホがなければログインできなくなります。
- SMS経由の認証コード(最低限)
- 認証アプリ(Google Authenticator、Microsoft Authenticator)
- ハードウェアキー(YubiKey 等、最強)
重要アカウントは必ず2FAを有効化してください。
よくある質問
Q. 生成されたパスワードは外部に送信されますか?
Keyly はすべての処理をブラウザ内で実行します。生成されたパスワードが当サイトや外部に送信されることはありません。`crypto.getRandomValues()` という暗号学的に安全な乱数を使っています。
Q. パスワードを定期的に変更すべき?
最新のセキュリティ専門家の見解では、「漏洩の兆候がない限り定期変更は不要」とされています(むしろ頻繁に変えると弱いパスワードに走る傾向あり)。漏洩の通知が来たとき、または不審なアクティビティがあったときに変更すれば十分。
Q. 数十のサービスを使っているけど、すべて別パスワード?
はい。だからパスワードマネージャーが必須なのです。マネージャー無しで運用するのは現代では不可能です。
Q. 「パスフレーズ」と「パスワード」の違いは?
パスフレーズは複数の単語の組合せ(例:「四駆の鯖は冷蔵庫で踊る」)で、長さで強度を稼ぎつつ覚えやすいのが利点。マスターパスワード向き。一方ランダム文字列パスワードは個別サービス用に最適。
Q. 紛らわしい文字を除外するとどれくらい弱くなる?
除外する文字数は5文字程度(0/O/o/1/l/I)。可能な文字種が94→89程度に減るだけで、強度の低下はわずか(数%)。実用性とのトレードオフでONにする価値は十分あります。
まとめ
「強いパスワード」の現代的定義は「16文字以上のランダム文字列を、サービスごとに別個に使う」。すべてを覚える必要はなく、パスワードマネージャーに任せる。マスターパスワードだけ覚える。
Keyly を使えば、必要なときに必要な強度のパスワードを瞬時に生成できます。安全な乱数、柔軟な設定、ブラウザ内完結。今日からすべての重要アカウントを強いパスワードに移行してみてください。
Keyly でパスワード生成を始める
長さ・文字種を自由に設定、暗号学的に安全な乱数で生成。ブラウザ完結、完全無料。