安全なパスワードの作り方|強度の目安と管理方法
不正アクセスを防ぐために知っておきたい、安全なパスワードの条件と管理のコツを解説します。
安全なパスワードの3つの条件
- 12文字以上の長さ
- 大文字・小文字・数字・記号を混在させる
- 推測されやすい単語やパターンを避ける
パスワードの強度は「長さ」と「文字種の多さ」で決まります。8文字の英小文字のみのパスワードは数週間で解読される可能性がありますが、12文字以上で英大文字・小文字・数字・記号を混ぜると、解読に数千年以上かかるとされています。
文字数と強度の目安
| 文字数 | 英小文字のみ | 英大小+数字+記号 |
|---|---|---|
| 6文字 | 数分 | 数時間 |
| 8文字 | 数週間 | 数日 |
| 12文字 | 数十万年 | 数千年以上 |
| 16文字 | 数千億年 | 数億年以上 |
※ bcryptハッシュに対する高性能GPU環境での総当たり攻撃を想定した目安です(Hive Systems 2025年調査に基づく)。
避けるべきパスワードのパターン
辞書に載っている単語
「password」「dragon」「monkey」などの英単語はパスワード辞書攻撃で真っ先に試されます。日本語のローマ字(「sakura」「tokyo」など)も同様です。
連番・繰り返し
「123456」「abcdef」「aaaaaa」「qwerty」などのキーボード配列パターンは、最も多く使われるパスワードの上位に毎年ランクインしています。
個人情報を含むもの
誕生日、電話番号、名前、ペットの名前など個人情報を含むパスワードは、SNSなどから推測される恐れがあります。
単純な置き換え
「p@ssw0rd」のように文字を記号に置き換えるだけのパターンは、攻撃ツールに登録済みで安全ではありません。
パスワードの管理方法
パスワードマネージャーを使う(おすすめ)
1Password、Bitwarden、Apple Passwords などのパスワードマネージャーを使えば、サービスごとに異なる強力なパスワードを安全に管理できます。覚える必要があるのはマスターパスワード1つだけです。
サービスごとに異なるパスワードを設定する
同じパスワードを複数のサービスで使い回すと、1つのサービスから漏洩した場合に他のすべてのアカウントが危険にさらされます。
二要素認証(2FA)を併用する
パスワードに加えて、スマートフォンの認証アプリやSMS認証を設定することで、パスワードが漏洩しても不正アクセスを防げます。
パスフレーズという選択肢
複数の無関係な単語を組み合わせた「パスフレーズ」も有効な方法です。例えば「correct horse battery staple」のような4語以上の組み合わせは、覚えやすく、かつ十分な強度があります。
パスフレーズの例
purple-river-laptop-sunrise
28文字・覚えやすく高強度
よくある質問
パスワードは定期的に変更すべきですか?
現在では「定期変更は不要」というのが主流の見解です。総務省やNIST(米国標準技術研究所)も、十分に強いパスワードであれば定期変更は推奨していません。ただし、漏洩が疑われる場合は直ちに変更してください。
紙にメモするのは安全ですか?
オンラインでの攻撃に対しては安全ですが、物理的な盗難リスクがあります。紙に書く場合は、パスワード全体ではなくヒントだけを記録するなどの工夫が必要です。パスワードマネージャーの利用をおすすめします。