パスワード生成ツール：強力なランダムパスワードを即座に作成

本当に解読困難なパスワードを生成。長さと文字タイプを選んで、ワンクリックで暗号学的にランダムな結果を取得。すべてブラウザ内で完結し、あなたのパスワードを見ることはありません。

パスワード設定

パスワード要件を設定

パスワード長さ：16

864

大文字 (A-Z)

小文字 (a-z)

数字 (0-9)

記号 (!@#$%^&*)

生成されたパスワード

安全なパスワード

パスワード

強度：

ヒント： 最大限のセキュリティのため、少なくとも16文字の大文字、小文字、数字、記号を組み合わせて使用してください。

パスワードセキュリティの仕組み

パスワードの強度は結局一つのこと、エントロピーに尽きる。攻撃者が試す必要のある組み合わせ数だ。小文字のみの12文字パスワードは約56ビットのエントロピー（26^12通り）。大文字、数字、記号を追加すると同じ12文字で約79ビット（95^12）に跳ね上がる。これは「数時間で解読」と「数世紀かかる」の違い。

計算は単純：エントロピー = 長さ × log2(文字プールサイズ)。95文字のASCIIセット全体を使った16文字パスワードは約105ビットのエントロピー。参考までに、ビットコインの秘密鍵は256ビット。Netflixのパスワードはそこまで強くなくていいが、マスターパスワードは80ビット以上を目指すべき。

NIST SP 800-63B（米国政府のデジタルID指針、2024年最終更新）は「90日ごとに変更」というアドバイスを廃止した。現在の推奨：パスワードは長く（最低8、推奨15+）、任意の複雑さルールを強制しない、既知の漏洩パスワードリストと照合する。長さは常に複雑さに勝る。

使い方

長さを設定する。ほとんどのアカウントには16文字がデフォルトとして適切。
文字タイプのオン/オフを切り替え。サイトに変な制限がない限り4種類すべてオン。
生成をクリック。crypto.getRandomValues()で作成され、Math.random()ではない。
コピーしてパスワードマネージャーに保存。ランダムパスワードを暗記しようとしないこと。

使用場面

新しいアカウントの設定

16-20文字のユニークなパスワードを生成し、登録フォームに貼り付け、パスワードマネージャーに保存。10秒で完了、二度と考える必要なし。

APIキーとトークンの作成

APIシークレット、Webhook署名キー、JWTシークレット用のランダム文字列が必要？全文字タイプで32-64文字を生成。技術的には「パスワード」ではないが生成方法は同じ。

ゲスト用WiFiパスワード

紛らわしい文字なし（0/O、1/l/Iを除外）の10-12文字パスワードを生成。ルーターに貼った紙から実際にタイプできるように。

漏洩したパスワードの置き換え

HaveIBeenPwnedやブラウザから「パスワードがデータ漏洩に含まれています」通知を受けた？すぐに新しいものを生成。古いパスワードの末尾に「2」を追加するだけはダメ。

パスワードセキュリティで本当に重要なこと

長さ > 複雑さ、常に

「Tr0ub4dor&3」（11文字、複雑に見える）は辞書語ベースの予測可能な置換なので約28ビットのエントロピーしかない。ランダムな16文字全文字タイプ？約105ビット。「覚えにくい」と「解読しにくい」を混同しないこと。

パスワードマネージャーを使うこと。本気で

ランダムパスワードを生成しているなら（そうすべき）、暗記は不可能。1Password、Bitwarden、KeePassを使う。マスターパスワードは唯一暗記するもので、5語以上のランダムなパスフレーズにする。

サイト間でパスワードを絶対に使い回さない

LinkedInが漏洩した時（実際に起きた、2012年に1.17億パスワード流出）、攻撃者はその認証情報を他のすべてのサイトで試す。LinkedInのパスワードがGmailと同じだったら、メールを失う。サイトごとにユニークなパスワードは交渉の余地なし。

重要なアカウントで2FAを有効にする

完璧なパスワードでもフィッシングされる可能性がある。二要素認証（AuthyのようなTOTPアプリ、またはYubiKeyのようなハードウェアキー）は、盗まれたパスワードだけでは不十分にする。最低限メール、銀行、クラウドアカウントで有効に。

出力例

標準的な強力パスワード（16文字、全タイプ）

ほとんどのオンラインアカウントに適切。約105ビットのエントロピー。

Input

長さ: 16, 大文字: ✓, 小文字: ✓, 数字: ✓, 記号: ✓

Output

k7#Qm9$vLx2&pN4w

WiFi向けパスワード（12文字、紛らわしい文字なし）

印刷したカードから読みやすくタイプしやすい。0/O/l/1/Iを除外。

Input

長さ: 12, 大文字: ✓, 小文字: ✓, 数字: ✓, 記号: ✗, 紛らわしい文字除外: ✓

Output

Kx7mR4nP9wBt

機能

crypto.getRandomValues()を使用し、Math.random()ではない（後者は予測可能）
8〜64文字の調整可能な長さ
大文字、小文字、数字、記号を個別に切り替え
強度メーターが実際のエントロピー（ビット）を表示
ワンクリックコピーで、クリップボード履歴に残らない
ページ読み込み後はオフラインで動作し、ネットワークリクエストゼロ

よくある質問

2026年、パスワードはどのくらいの長さが必要？

重要なアカウント（メール、銀行）は最低16文字。低価値アカウントは12文字で許容範囲。サイトが8文字に制限している場合（一部の銀行はまだそう）、それ自体がセキュリティの赤信号だが、許可される最大長で全文字タイプを使う。

パスフレーズはランダムパスワードより良い？

マスターパスワード（暗記する唯一のもの）には、はい。5語以上の本当にランダムな単語のパスフレーズは覚えやすく非常に強力。それ以外はすべてパスワードマネージャーにランダム文字列を生成・保存させる。

強度メーターが8文字パスワードを「弱い」と言うのはなぜ？

全文字タイプの8文字パスワードは約52ビットのエントロピー。現代のGPUは毎秒数十億のハッシュをテストできる。その速度では52ビットは数時間〜数日でブルートフォース可能（ハッシュアルゴリズムによる）。80ビット以上が必要。

まだ90日ごとにパスワードを変更すべき？

いいえ。NISTは数年前にその推奨を廃止した。強制ローテーションはより弱いパスワードにつながる（人々は末尾の数字を増やすだけ）。変更するのは：(1) 漏洩の疑い、(2) サービスからの侵害通知、(3) アクセス不要になった人と共有していた場合のみ。

特定のサイト要件を満たすパスワードを生成できる？

はい。サイトのルールに合わせて文字タイプを切り替える。「大文字1つ以上、数字1つ、記号1つ」が必要なら、全タイプをオンにして12文字以上で生成すれば通常1回目で要件を満たす。

ヒントと関連ワークフロー

パスワードのハッシュ化が必要ですか？安全な保存に使えます。ハッシュ生成ツール.
セッショントークンもランダムに生成しておくと安心です。UUID生成ツール.
パスワードをURL経由で送る場合はBase64が便利。Base64エンコーダー.
Wi-Fiパスワードを来客と共有するなら、QRコードが手軽です。QRコード生成ツール.