パスワードジェネレーター
ブラウザで直接強力でランダムなパスワードを作成できます。長さと文字タイプを選択すれば、パスワードはローカルで生成され、どこにも送信されません。
使い方
長さと含める文字タイプを設定します。大文字、小文字、数字、記号から選択できます。新しいパスワードが即座に表示されます。更新ボタンをクリックして別のパスワードを取得するか、コピーボタンをクリックして取得してください。パスワードの下の強度メーターは、それがどの程度推測されやすいかを推定します。 パスワードを強くするのは、スマートな置換ではなく、長さと多様性です。「a」を「@」に置換したり、「e」を「3」に置換したりすることはほぼ効果がありません。攻撃者のクラッキングツールはすでにこれらのパターンを最初にチェックしています。スマートな記号で着飾られた短いパスワードより、より広い文字プールから作られた長いパスワードの方が推測しにくいです。なぜなら可能な組み合わせの数は長さと文字プールのサイズの両方で増えるからです。 このツールはパスワードを生成するためにWeb Crypto APIのcrypto.getRandomValues()を使用します。これはブラウザが暗号化に使用する暗号学的に安全な乱数生成元と同じです。これはMath.random()との意味のある違いです。Math.random()は高速ですが、セキュリティ関連のものに意図されていないほど予測可能です。生成されたパスワードの各文字は独立して、不偏で選択されるため、ソフトウェアが学習できるパターンはありません。 強度は通常、エントロピービット数で測定されます。大雑把に言うと、パスワードの長さに文字プールサイズのlog2を掛けたものです。94文字プール(すべての大文字、小文字、数字、記号)から描画した16文字のパスワードは、約16 × 6.55 ≈ 105ビットとなります。その数は現実的なブルートフォース攻撃が処理できる範囲をはるかに超えています。現在のハードウェアでは宇宙の年齢より長くかかるでしょう。 ここで生成したものは何もどこにも送信されません。パスワードはクライアント側JavaScriptを使用してブラウザで完全に作成されるため、ネットワークリクエストやサーバーログに触れることはありません。ページをリロードするとクリアされます。紙に書いて燃やした場合と全く同じです。 何か個人的な習慣がツールを使用するより重要です。各アカウントに異なるパスワードを使用してください。1つのサイトが漏洩しても残りが侵害されないようにします。パスワードマネージャーで保存してください。覚えるよりもそれを使用する方が、長くランダムなパスワードを日常使用で実行可能にします。そして2FAをオンにしてください。どこで提供されていても、それはパスワードが最終的に漏洩しても、あなたを保護します。
よくある質問
- 本当にランダムなパスワードですか?
- はい。各文字はWeb Crypto APIのcrypto.getRandomValues()から取得されます。これはブラウザが暗号化に使用する暗号学的に安全なランダムソースです。予測可能で、セキュリティに不適切なMath.random()ではありません。各文字は独立して選択され、パターンへの偏りがありません。
- ここでオンラインでパスワードを生成するのは安全ですか?
- はい。生成はブラウザで実行するJavaScriptを使用して完全にローカルで行われます。パスワードはサーバーに送信されたり、ログに記録されたり、どこにも保存されたりしません。ページをリロードすると、画面外に存在していなかったのと同じように消えます。
- パスワードはどのくらい長くする必要がありますか?
- ほとんどのアカウントについては最低16文字で、大文字、小文字、数字、記号を混ぜてください。これで100ビット以上のエントロピーが得られ、ブルートフォース攻撃の範囲をはるかに超えています。特に機密性の高いアカウント(メール、銀行、パスワードマネージャー自体)については、20文字以上にしてください。
- 複数のサイト間で強いパスワードを再利用すべきですか?
- いいえ。強いパスワードは、それが使用されるアカウントのみを保護します。1つのサイトが侵害された場合、そのパスワードを再利用していれば、そのパスワードを使用している他のすべてのアカウントも公開されます。各サイトについてユニークなパスワードを生成し、パスワードマネージャーでそれを追跡してください。非常に強力なパスワードであっても、それを再利用しないでください。