2026年の強力なパスワード:普通の人のための簡単チェックリスト
長さと複雑さの比較、パスワードマネージャー、MFA、そしてサーバーに秘密を送らずに強度をテストする方法。
「大文字1文字、記号1文字」といったパスワードルールは、攻撃者が数千回の推測を試みていた時代には意味がありました。しかし今日では、クレデンシャルスタッフィング(漏洩したメールアドレスとパスワードの組み合わせの使い回し)とオフラインハッシュクラッキングが主流となっています。最新のガイダンスでは、巧妙な短いパスワードよりも、長くてユニークな秘密情報と第2の認証要素が推奨されています。
「巧さ」より長さが重要
区切り文字を使ったランダムな4単語のパスフレーズ(例:correct-horse-battery-stapleスタイルで、ランダムに選ばれたもの)や、ジェネレーターで生成した20文字以上のパスワードは、あらゆる漏洩リストに登場するP@ssw0rd!1よりもクラックが困難です。
最良のパスワードとは、何十ものサイトで使い回さず、暗記する必要もないもの——パスワードマネージャーを使いましょう。
パスワードマネージャー
- サイトごとにユニークなパスワードを生成する。
- 対応している場合はTOTPシードやパスキーも保存できる。
- 強力なマスターパスワードとデバイスのセキュリティでボールトを保護する。
多要素認証(MFA)
SMSコードはないよりましですが、SIMスワップ攻撃に対して脆弱です。メール、銀行、ドメインレジストラ、クラウド管理者など重要なアカウントには、認証アプリやハードウェアキー(WebAuthn/FIDO2)を優先して使用してください。
ローカルで強度をテストする
パスワードをサーバーにアップロードする「強度メーター」は論外です。秘密情報を一切送信せず、完全にブラウザ内で動作するツールを使いましょう。
Password Generatorでは、長さや文字セットを調整しながらランダムな文字列を生成できます。Password Strength Checkerは、候補のパスワードが外部に漏れないようクライアントサイドでエントロピーベースの評価を行います。
パスワードを保存する開発者へ:平文での保管は絶対にやめてください。ユーザーごとのソルトを使った低速ハッシュ(Argon2、scrypt、またはbcrypt)を使用してください。Hash GeneratorはチェックサムやHMACの概念に便利ですが、本番環境のパスワード保存には使用しないでください——代わりにスタック内の検証済みライブラリを使用してください。
ユーザーが実際にすべきこと
- メールと金融アカウントでMFAを有効にする。
- パスワードマネージャーを使い、20文字以上のパスワードを生成させる。
- 従業員や契約社員が退職したらアクセスを無効化し、チャットで共有された秘密情報はローテーションする。
- 漏洩通知に注意し、影響を受けたパスワードだけを変更する(またはマネージャーが生成したユニークなパスワードに頼る)。
良い習慣は完璧な記憶力よりもスケールしやすいものです。そして、手軽にオフラインで使える上記の無料ツールとも相性抜群です。