安全なパスワード生成ツール

パスワードの強度はエントロピー（ビット数）で測定されます。これは可能な組み合わせの数を表します。文字を1つ追加するごとに、そのスペースが掛け算で広がります。小文字のみ（26種類）の20文字パスワードは、全種類の文字（94種類）を使った8文字パスワードよりもエントロピーが高くなります。実用的なアドバイス：まず長さを優先し、大文字・小文字・数字を最低限含めましょう。

紛らわしい文字とは、見た目が似ている文字のことです：数字の0と大文字のO（0・O）、数字の1と小文字のl、大文字のI（1・l・I）。手入力したり画面で読んだりする場合は、これらを除外することで入力ミスを防げます。パスワードマネージャーで常にコピー&ペーストするなら、除外する必要はありません。

はい、生成がすべてローカルで行われる限り安全です。このツールはブラウザのWeb Crypto API（crypto.getRandomValues()）を使用し、お使いのデバイス上で暗号学的に安全な乱数を生成します。生成されたパスワードはサーバーに送信されず、Cookieへの保存やログへの記録も一切行われません。使用前にインターネットを切断しても正常に動作することで確認できます。

サービスがデータ侵害を受けると、流出したパスワードがデータベースに公開され、攻撃者がそれを使って他のサイトに試みる「クレデンシャルスタッフィング攻撃」が行われます。同じパスワードを複数のサービスで使い回していると、1つの侵害ですべてのアカウントが危険にさらされます。解決策は、サービスごとに固有のパスワードを設定し、Bitwarden（無料・オープンソース）などのパスワードマネージャーで管理することです。

これは、現代のGPU（高速ハッシュに対して約1000億回/秒）を使って攻撃者がすべての組み合わせを試すのにかかる理論上の時間の推定値です。実際の時間は、サービスが使用するハッシュアルゴリズムによって異なります。bcryptやArgon2を使用する場合、コストは数百万倍に増加します。この指標はオプションを比較するためのもので、絶対的な保証ではありません。

システム管理者・IT管理者は、ユーザーアカウントの作成・サービスの設定・サーバー認証情報のローテーション時に安全な初期パスワードを生成するのに使います。情報セキュリティ担当者は、重要なアクセスポイント（データベース・管理パネル・VPN）のパスワードが予測可能でなく、使い回しもされていないことを確保するのに活用します。開発者・DevOpsエンジニアは、トークン・APIキー・開発環境のシークレット・環境変数用のランダム文字列の生成に使います。多くの個人アカウント（メール・銀行・SNS・サブスクリプション）を管理するユーザーは、パスワードマネージャーと組み合わせてサービスごとに固有の鍵を用意するのに活用します。新入社員をオンボーディングする企業は、ユーザーが初回ログイン時に変更する強力な仮パスワードを発行するのに使います。

パソコンでは、Chrome・Firefox・Edgeで Ctrl + D（Windows/Linux）または Cmd + D（Mac）を押すと、すぐにブックマークに追加できます。Mac の Safari では Cmd + D を押すか、「ブックマーク」→「ブックマークを追加」で登録します。Android（Chrome）では、右上の3点メニュー（⋮）をタップし「ホーム画面に追加」または「ブックマークに追加」を選択します。iPhone/iPad（Safari）では、共有ボタン（□↑）をタップして「ホーム画面に追加」を選択します。ホーム画面に1タップで使えるようにしておくと、新しいアカウント作成時に安全なパスワードがすぐに生成できます。