強いパスワードの条件とは?
パスワードの強度は一つの概念に集約されます:エントロピー — パスワードがいかに予測不可能かの尺度です。エントロピーが高いほど、ブルートフォース攻撃者があらゆる組み合わせを試すのに時間がかかります。
エントロピー = log₂(プール) × 文字数
プールとは使用可能な異なる文字の数です。小文字のみ:26文字。大文字を追加:52文字。数字を追加:62文字。一般的な記号を追加:約87文字。文字を追加するごとに難易度が乗算されます。文字数を1つ増やすごとにも乗算されます — 17文字のパスワードは16文字のもの(同じ文字セット)より87倍クラックしにくく、少し難しいだけではありません。
複雑さより文字数が重要な理由
小文字のみ20文字のパスワード(プール26)は約94ビットのエントロピーを持ちます。全セット10文字(プール87)は約66ビットです。長くてシンプルなパスワードは指数関数的にクラックが難しくなります。これがパスフレーズ(ランダムな単語の連続)が記憶しやすく非常に安全な理由です。
攻撃者が実際にやること
最新のGPUリグは盗まれたパスワードハッシュに対して100〜1,000億回/秒の試行が可能です(オフライン攻撃)。この生成機のクラック時間推定は保守的な100億/秒を使用しています。レート制限のあるオンラインサービスに対しては必要なエントロピーはずっと少なくなりますが、パスワードはデータベース侵害でよく流出するため、オフラインクラック速度が正しい脅威モデルです。
本当に重要な3つのルール
1. すべてのアカウントに異なるパスワードを使う。 サイトが侵害されたとき(最終的にはどのサイトも侵害されます)、固有のパスワードはその1つのサイトへの被害を限定します。2. 長くてランダムなパスワードを使う。 16文字以上、全文字セット。このジェネレーターを使ってください。3. パスワードマネージャーに保存する。 80個の固有の強いパスワードを覚えることは誰にもできません。パスワードマネージャーがあなたの代わりにやってくれます。
パスワードマネージャー比較
パスワードマネージャーは、アカウントのセキュリティのために行える最善の選択肢です。主要な選択肢を比較してみましょう:
| マネージャー | 無料プラン | オープンソース | ゼロ知識 | モバイル | パスキー対応 |
|---|---|---|---|---|---|
| Bitwarden | ✓ 全機能 | ✓ | ✓ | ✓ | ✓ |
| 1Password | ✗ 試用のみ | ✗ | ✓ | ✓ | ✓ |
| NordPass | ✓ 制限あり | ✗ | ✓ | ✓ | ✓ |
| KeePassXC | ✓ 全機能 | ✓ | ✓(ローカル) | 手動同期 | ✗ |
上記のすべてのオプションはエンドツーエンド暗号化を使用しています — プロバイダーはあなたのパスワードを読めません。ほとんどのユーザーにはBitwardenをお勧めします(無料、オープンソース、監査済み)。1Passwordは共有と監査機能でITチームに好まれています。
よくある質問
crypto.getRandomValues)を使用し、どのサーバーとも通信しません。インターネットを切断しても完璧に動作します。生成されたパスワードはブラウザのタブ内にのみ存在し、どこにも送信されることはありません。correct-horse-battery-stapleのようなランダムな一般単語の連続です。そのエントロピーは単語リストのサイズと単語数から生まれます。このツールの内蔵単語リストから5単語のパスフレーズは約40ビット;7,776語のDicewareリストからは約64.6ビットです。パスフレーズは入力しやすく覚えやすいという利点があり、暗記しなければならないマスターパスワードに最適です。log₂(プールサイズ) × 文字数。プールサイズは選択した文字セット(26 + 26 + 10 + 約25記号 = 最大約87)の異なる文字数です。クラック時間推定は100億回/秒で動作するオフライン攻撃者を想定 — 漏洩したハッシュデータベースに対する現実的な脅威モデルです。ラベル:弱い <40ビット、普通 40〜59、強い 60〜79、非常に強い 80以上。