パスワード強度チェッカー
パスワードの強度をリアルタイムで分析するツール。推定クラック時間、脆弱性の詳細、改善提案をわかりやすく表示します。
最終更新:
使い方
使い方を開く使い方を閉じる
- 1
パスワードを入力
チェックしたいパスワードを入力欄に入力します。
- 2
強度を確認
スコア・推定クラック時間・文字種内訳がリアルタイムで表示されます。
- 3
改善提案を確認
警告や改善提案を参考に、より強いパスワードを作成しましょう。
すべての処理はブラウザ内で完結します。パスワードはサーバーに送信されません。
パスワード入力
分析結果
パスワードを入力すると強度を分析します
パスワード強度チェッカーとは
入力されたパスワードの強度をリアルタイムで分析するツールです。業界標準のzxcvbnアルゴリズムを使用し、辞書攻撃やパターンマッチングを考慮した精度の高い強度判定を提供します。 zxcvbnは、Dropbox社が開発したパスワード強度評価アルゴリズムです。従来の「大文字・小文字・数字・記号を含むか」という単純なルールベースの判定とは異なり、実際の攻撃手法を模倣した評価を行います。具体的には、英語辞書やよく使われるパスワードのリスト、キーボードの物理的な配列パターン(qwerty、zxcvbn等)、日付・年号のパターン、繰り返しや連番のパターンなどを検出し、攻撃者が推測するまでにかかる試行回数を算出します。 パスワード攻撃には主に4つのシナリオがあります。「オンライン攻撃(レート制限あり)」は、ログインページで1秒に数回の試行に制限される場合です。「オンライン攻撃(レート制限なし)」は、制限が緩い場合です。「オフライン攻撃(低速ハッシュ)」は、bcryptやscryptなど計算コストの高いハッシュ関数でハッシュ化されたパスワードに対する攻撃です。「オフライン攻撃(高速ハッシュ)」は、MD5やSHA-1など高速なハッシュ関数を使っている場合で、最も危険なシナリオです。本ツールではこれら4つのシナリオそれぞれでの推定クラック時間を表示します。 安全なパスワードを作るためのポイントは、十分な長さ(12文字以上推奨)と予測困難な文字の組み合わせです。NIST(米国国立標準技術研究所)の最新ガイドラインでは、定期的なパスワード変更よりも、長くて推測しにくいパスワードの使用を推奨しています。また、パスワードの使い回しを避け、可能であれば二要素認証(2FA)を併用することが重要です。
主な機能
- 0〜4の5段階スコアによる直感的な強度表示
- 4つの攻撃シナリオ別の推定クラック時間
- 具体的な警告メッセージと改善提案
- 文字種内訳(大文字・小文字・数字・記号)の表示
- NIST SP 800-63B準拠の評価基準(定期変更より長さと複雑性を重視)
こんな場面で役立ちます
- 新しいアカウント作成時のパスワード強度確認
- 既存パスワードの安全性チェック
- パスワードポリシーの検証
- セキュリティ教育・研修での強度判定デモ
よくある質問
入力したパスワードはどこかに保存されますか?
いいえ。すべての処理はブラウザ内で完結し、パスワードはサーバーに送信されません。ページを離れるとメモリからも消去されます。
スコアの0〜4はどのような基準で判定されますか?
zxcvbnアルゴリズムが、辞書攻撃・キーボードパターン・繰り返し・日付パターンなど複数の観点から総合的に判定します。単純な文字種チェックよりも精度の高い評価が可能です。
推定クラック時間はどのように計算されていますか?
パスワードの推測回数を4つの攻撃シナリオ(オンライン攻撃2種、オフライン攻撃2種)それぞれの試行速度で割って算出しています。実際のクラック時間は攻撃者の環境によって異なります。
スコア4なら絶対に安全ですか?
スコア4は非常に強いパスワードであることを示しますが、「絶対に安全」を保証するものではありません。パスワードの使い回しを避け、二段階認証を併用することを推奨します。
日本語(ひらがな・カタカナ・漢字)を含むパスワードもチェックできますか?
はい、入力可能です。ただし、zxcvbnの辞書は主に英語をベースとしているため、日本語固有のパターン(よく使われる日本語の単語等)の検出精度は限定的です。
「password123」のような簡単なパスワードはなぜ危険ですか?
攻撃者は「よく使われるパスワードのリスト」を使った辞書攻撃を最初に試みます。「password」「123456」「qwerty」などは毎年の漏洩パスワード統計で上位に入り続けており、こうしたパスワードは数秒で突破されます。末尾に数字を付けるパターン(password123等)もルールベース攻撃で容易に推測されます。
パスフレーズ(複数の単語をつなげたもの)は安全ですか?
十分な長さ(4単語以上推奨)があり、ランダムに選ばれた単語であれば安全です。ただし「iloveyou」「letmein」のようなよく使われるフレーズは辞書攻撃で検出されます。本ツールではこうしたパターンも検出し、警告を表示します。
二要素認証(2FA)を使えばパスワードは短くてもいいですか?
二要素認証は追加のセキュリティ層として非常に有効ですが、パスワード自体の強度も重要です。2FAのバイパス手法(SIMスワッピング、フィッシング等)が存在するため、強いパスワードと2FAの両方を組み合わせることが最善の対策です。
定期的にパスワードを変更すべきですか?
NIST(米国国立標準技術研究所)の最新ガイドライン(SP 800-63B)では、漏洩の兆候がない限り定期的な変更は推奨していません。頻繁な変更を求めると、ユーザーが「password1」「password2」のように予測しやすいパターンで変更しがちなためです。強固なパスワードを設定し、漏洩が疑われる場合にのみ変更するのが現在のベストプラクティスです。
監修・参考文献
- 監修
- Toolsbase編集部
- 最終確認日
参考文献
免責事項
本ツールの強度判定は zxcvbn ライブラリによるパターン・辞書ベースの推定であり、解読時間の予測値は攻撃手法・ハードウェア・並列度により大きく変動します。重要なアカウント(金融・医療・行政サービス等)のパスワード管理には、本ツールでの確認に加えて、パスワードマネージャーの利用・多要素認証(MFA)の有効化・パスフレーズ方式の採用を強く推奨します。漏洩の有無は HaveIBeenPwned 等のサービスで別途確認してください。