安全なパスワードの作り方|強度の目安と管理方法
不正アクセスを防ぐために知っておきたい、安全なパスワードの条件と管理のコツを解説します。
安全なパスワードの3つの条件
- 12文字以上の長さ
- 大文字・小文字・数字・記号を混在させる
- 推測されやすい単語やパターンを避ける
パスワードの強度は「長さ」と「文字種の多さ」で決まります。8文字の英小文字のみのパスワードは数週間で解読される可能性がありますが、12文字以上で英大文字・小文字・数字・記号を混ぜると、解読に数千年以上かかるとされています。
文字数と強度の目安
| 文字数 | 英小文字のみ | 英大小+数字+記号 |
|---|---|---|
| 6文字 | 数分 | 数時間 |
| 8文字 | 数週間 | 数日 |
| 12文字 | 数十万年 | 数千年以上 |
| 16文字 | 数千億年 | 数億年以上 |
※ bcryptハッシュに対する高性能GPU環境での総当たり攻撃を想定した目安です(Hive Systems 2025年調査に基づく)。
避けるべきパスワードのパターン
辞書に載っている単語
「password」「dragon」「monkey」などの英単語はパスワード辞書攻撃で真っ先に試されます。日本語のローマ字(「sakura」「tokyo」など)も同様です。
連番・繰り返し
「123456」「abcdef」「aaaaaa」「qwerty」などのキーボード配列パターンは、最も多く使われるパスワードの上位に毎年ランクインしています。
個人情報を含むもの
誕生日、電話番号、名前、ペットの名前など個人情報を含むパスワードは、SNSなどから推測される恐れがあります。
単純な置き換え
「p@ssw0rd」のように文字を記号に置き換えるだけのパターンは、攻撃ツールに登録済みで安全ではありません。
パスワードの管理方法
パスワードマネージャーを使う(おすすめ)
1Password、Bitwarden、Apple Passwords などのパスワードマネージャーを使えば、サービスごとに異なる強力なパスワードを安全に管理できます。覚える必要があるのはマスターパスワード1つだけです。
サービスごとに異なるパスワードを設定する
同じパスワードを複数のサービスで使い回すと、1つのサービスから漏洩した場合に他のすべてのアカウントが危険にさらされます。
二要素認証(2FA)を併用する
パスワードに加えて、スマートフォンの認証アプリやSMS認証を設定することで、パスワードが漏洩しても不正アクセスを防げます。
パスフレーズという選択肢
複数の無関係な単語を組み合わせた「パスフレーズ」も有効な方法です。例えば「correct horse battery staple」のような4語以上の組み合わせは、覚えやすく、かつ十分な強度があります。
パスフレーズの例
purple-river-laptop-sunrise
28文字・覚えやすく高強度
よくある質問
- Q. パスワードは何文字以上が安全ですか?
- 12文字以上が推奨されます。英大文字・小文字・数字・記号を組み合わせた12文字以上のパスワードは、総当たり攻撃での解読に数千年以上かかるとされています。
- Q. パスワードの使い回しはなぜ危険ですか?
- 1つのサービスからパスワードが漏洩すると、同じパスワードを使っている他のすべてのアカウントに不正アクセスされるリスクがあるためです。サービスごとに異なるパスワードを設定してください。
- Q. パスワードマネージャーとは何ですか?
- サービスごとのパスワードを暗号化して一元管理するツールです。1Password、Bitwarden、Apple Passwordsなどがあり、覚えるのはマスターパスワード1つだけで済みます。
- Q. 二段階認証(2FA)とは何ですか?
- パスワードに加えて、スマートフォンの認証アプリやSMSで届くコードなど、もう1つの要素で本人確認を行うセキュリティ対策です。パスワードが漏洩しても不正アクセスを防げます。