パスワード強度チェッカー＆解読時間シミュレーター｜安全性を即診断

パスワードを入力するだけで強度スコア・解読推定時間・辞書チェックを即表示。強度は4つの攻撃シナリオで比較できます。診断結果は認定証画像として保存・SNSシェアが可能です。パスワードはブラウザ内のみで処理され、サーバーには一切送信されません。

パスワードの強度の定義

パスワードの強度とは、そのパスワードが解読（クラック）されることへの抵抗力を示す指標です。強度は主にエントロピー（予測困難さ）で表され、単位はビット（bits）です。エントロピーが高いほどパスワードは強力で、解読に必要な試行回数が指数関数的に増加します。

安全なパスワードの条件（2025年版）

長さが最も重要: 12文字以上を推奨、16文字以上が理想です。文字数が1増えるごとに解読時間が文字セットサイズ倍（26〜94倍）になります。
文字種の多様性: 大文字・小文字・数字・記号の4種類すべてを使うと文字セットが94種となり、エントロピーが最大化されます。
辞書攻撃への耐性: 一般的な単語・名前・日付・キーボードパターンを含まないことが重要です。

エントロピーの計算式

パスワードのエントロピー（E）は次の式で計算されます: E = L × log₂(R)（L = 文字数、R = 使用文字セットのサイズ）。例えば、小文字のみ（26種）12文字のパスワードのエントロピーは 12 × log₂(26) ≈ 56.5 bits です。4種類の文字（94種）を使う同じ12文字のパスワードは 12 × log₂(94) ≈ 78.5 bits となり、約4倍以上のエントロピーを持ちます。

4つの攻撃シナリオの違い

オンライン攻撃（100回/秒）: ウェブサービスのログインフォームに対する攻撃。通常はレート制限や一時ロックで守られます。
オフライン総当たり（100億回/秒）: パスワードのハッシュ値が流出した場合のCPUによる攻撃。最も現実的なシナリオです。
GPU高速攻撃（1,000億回/秒）: 複数のGPUを搭載したマシンによる攻撃。特定のハッシュアルゴリズム（MD5等）では非常に高速です。
AI加速攻撃（1兆回/秒）: 2025年現在のAI技術を利用した最先端のパスワードクラッキング。人間が作るパスワードのパターンをAIが学習し、効率的に候補を絞ります。

日本で最も多い危険なパスワード（2025年版）

NordPassの2025年調査によると、日本で最も多く使われている危険なパスワードは「admin」「123456」「password」「12345678」「Pass1234」などです。これらは数秒から数分で解読されます。また、「田中」「山田」「佐藤」など日本人に多い名前の英字表記（tanaka, yamada, sato）を含むパスワードも、辞書攻撃で容易に発見されます。

やってはいけないパターン

❌ 名前+生年月日: tanaka1990, yamada0415
❌ キーボード配列: qwerty, asdfgh, 1qaz2wsx
❌ 連続文字: abcdef, 123456
❌ 同じ文字の繰り返し: aaaaaa, 111111
❌ よくある単語: password, welcome, letmein
❌ 他サイトとの使い回し: 一箇所のパスワード漏洩が全サービスに被害を及ぼします

パスフレーズ方式（最も実用的）

複数の単語や文章をつなげたパスワードを「パスフレーズ」と呼びます。
例: HaruNoSakura-Ha-Utsukushii-2026!（31文字、エントロピー約180bits）
日本語の文をローマ字化することで覚えやすく、かつ非常に強力なパスワードが作れます。日本語の文章はパターンが独特で、英語辞書ベースの攻撃に非常に強い特徴があります。

パスワードマネージャーの活用

最も確実な対策はパスワードマネージャー（Bitwarden、KeePass等）を使い、サービスごとに異なる20文字以上のランダムなパスワードを自動生成・管理することです。二段階認証（2FA）と組み合わせると、パスワードが漏洩しても不正アクセスを防げます。

エントロピー（Entropy）

パスワードの予測困難さをビット単位で表した指標。エントロピーが1ビット増えると、解読に必要な試行回数が2倍になります。60bits以上が実用的な安全ラインとされています。

総当たり攻撃（Brute Force Attack）

考えられるすべての文字の組み合わせを順番に試す攻撃方法。パスワードが短いほど短時間で解読されます。

辞書攻撃（Dictionary Attack）

よく使われる単語・フレーズ・パスワードのリストを使って短時間で試す攻撃。エントロピーが高くても辞書に載っている単語を使っていると突破されます。

ハッシュ値（Hash Value）

パスワードを一方向の暗号化（ハッシュ関数）で変換した値。サービスはパスワードそのものではなくハッシュ値を保存します。ハッシュ値が流出した場合にオフライン攻撃が行われます。

二段階認証（2FA / Two-Factor Authentication）

パスワードに加えてSMSコードや認証アプリのOTPを入力する追加認証。パスワードが漏洩してもアカウントを守れます。

パスキー（Passkey）

パスワードを使わない次世代の認証方式。デバイスの生体認証（指紋・顔）を使ってログインするため、フィッシング攻撃やパスワード漏洩の影響を受けません。