安全なパスワードの作り方 - 2026年最新セキュリティ基準
「パスワードは8文字以上、大文字・小文字・数字・記号を混ぜて」というルールを聞いたことがあるでしょう。実はこのルール、現在では 非推奨とされていることをご存知でしょうか。本記事では、米国国立標準技術研究所 (NIST) の最新ガイドラインに基づく 2026年時点での安全なパスワード基準を解説します。
結論: 現代の安全なパスワード基準
- 長さは12文字以上 (16文字以上推奨)
- 複雑な文字種ルールは不要 (長さ重視)
- 定期変更は不要 (むしろ危険)
- パスワードマネージャー必須
- 使い回し絶対NG
- 多要素認証 (2FA) を併用
なぜ「複雑なパスワード」が非推奨になったのか
2017年、米国NIST (国立標準技術研究所) はパスワードガイドライン NIST SP 800-63B を全面改定しました。長年常識とされていた以下のルールが 廃止されました。
- ❌ 「90日ごとにパスワードを変更すべし」
- ❌ 「大文字・小文字・数字・記号を全て含むべし」
- ❌ 「秘密の質問を設定すべし」
これらが廃止された理由は 「ユーザーが守れない / かえって弱くなる」 という研究結果が積み重なったためです。
強制的な複雑性ルールが弱体化を招く理由
「大小英数記号必須・90日変更」という縛りがあると、ユーザーは以下のように行動します。
Password1!→Password2!→Password3!(単純な番号増加)P@ssw0rd!(記号置換だけのテンプレ)- 付箋に書いてモニタに貼る (物理的漏洩)
- 「変更が面倒だから」と簡単なパスワードに変更
結果として 「複雑そうに見えて、実は破られやすいパスワード」が量産される現象が観測されたのです。
長さこそが正義 - エントロピーの観点
パスワードの強度は 「エントロピー (情報量)」 で測られます。シンプルに言えば、「何通りの組み合わせが存在するか」です。
| パスワード例 | 長さ | 文字種 | 組み合わせ数 | 解読時間 (GPU推定) |
|---|---|---|---|---|
P@ssw0rd |
8 | 大小英数記号 | 約 6 × 1015 | 約 8時間 |
correcthorsebattery |
19 | 小文字のみ | 約 2 × 1026 | 約 6,000万年 |
kx9P7Fm2QvT4nL8b |
16 | 大小英数 | 約 5 × 1028 | 約 200億年 |
このように、長さの方が文字種よりも遥かに強度に効きます。「英字19文字」が「大小英数記号8文字」より圧倒的に強いのです。
覚えやすいパスワードの作り方
方法1: パスフレーズ (Passphrase)
意味のある単語を複数つなげる方式です。XKCD という有名なWebコミックで広まりました。
例: correcthorsebatterystaple
青空と赤い屋根とコーヒーカップ (日本語も有効)
HiraganaTakeruIshiBunko1995覚えやすく、かつ長く、結果として強度も高い理想的な形式です。
方法2: ランダム生成 + パスワードマネージャー
これが現代の本命です。16-20文字の完全ランダムパスワードをパスワードマネージャーに保存します。
- 1Password (個人 / 法人)
- Bitwarden (オープンソース・無料プランあり)
- iCloud Keychain (Apple純正・無料)
- Google Password Manager (Chrome / Android純正・無料)
マスターパスワードだけ覚えれば、サービスごとに別々の強力なパスワードを使えます。
本サイトのパスワード生成ツール
本サイトでは 安全なパスワード生成ツール を無料公開しています。
- 長さ: 2〜40文字
- 個数: 1〜1,000個まで一括生成
- 文字種: 大文字/小文字/数字/記号を個別ON/OFF
- 除外文字: 紛らわしい
0/O/1/l/I等を自動除外 - ブラウザ内処理 (生成パスワードは外部送信されません)
また、パスワード強度チェックツール で既存パスワードの安全性も測定できます。
絶対にやってはいけないこと
❌ パスワードの使い回し
1つのサービスが情報漏洩すると、他の全サービスにも影響します。日常的に発生する クレデンシャルスタッフィング攻撃 (流出したID/パスワード組み合わせを他サイトで試す自動攻撃) の標的となります。
❌ パスワードのメール送信
メールは平文で送られ、サーバログに残ります。どうしても伝える場合は1Password等の共有機能か、ワンタイムリンクを使うべきです。
❌ パスワードをBase64エンコードして保存
Base64は暗号化ではありません。一瞬で復号できます。詳しくは Base64エンコード解説記事 をご覧ください。
パスワードより重要な多要素認証 (2FA / MFA)
パスワードがどれだけ強くても、フィッシング攻撃やキーロガーで盗まれることはあります。多要素認証を併用すれば、パスワードが漏洩しても攻撃者はログインできません。
- TOTP (Google Authenticator・Authy): スマホアプリで30秒ごとの6桁コード
- パスキー (Passkey): 2024年に普及し始めた次世代認証。FaceID / TouchIDで完結
- ハードウェアキー (YubiKey): 物理デバイス。最強だが紛失リスクあり
- SMS認証: 一定の効果はあるが、SIMスワップ攻撃に弱いため非推奨
まとめ - 2026年の安全なパスワード対策
- パスワードは 16文字以上 のランダム生成
- 使い回し絶対NG。サービスごとに別パスワード
- パスワードマネージャーを導入 (1Password / Bitwarden等)
- マスターパスワードはパスフレーズ方式で長く覚えやすく
- 多要素認証 (2FA)を可能な限り全サービスで有効化
- パスキー対応サイトでは積極的にパスキー移行
- 定期変更は不要 (漏洩疑い時のみ変更)
パスワード生成は本サイトの無料パスワード生成ツールをご活用ください。生成データはブラウザ内処理で完結し、外部送信されません。