パスワード強度チェックとは?
パスワード強度チェックは、パスワードの安全性を多角的に分析するツールです。文字長、文字多様性、エントロピー(数学的予測不可能性)、一般的なパターンの有無を評価し、0-100のスコアと解読時間推定を提供します。
さらにHave I Been Pwnedデータベースと照合して、パスワードが既知のデータ漏洩に含まれるかも確認できます。すべての分析はブラウザ内で実行され、パスワードはサーバーに送信されません。
パスワードの安全性の確認方法
パスワード強度チェックツールにパスワードを入力すると、以下の情報がリアルタイムで表示されます。
0-100のスコアと「非常に弱い」から「非常に強い」までのラベル。80以上が推奨。
ビット単位の数学的予測不可能性。60ビット以上が強力、80ビット以上が非常に強力。
毎秒100億推測(GPU)での解読推定時間。16文字で数十億年。
Have I Been Pwnedで既知のデータ漏洩との照合。k-anonymityでプライバシー保護。
データ漏洩チェック — Have I Been Pwned
漏洩チェックはHave I Been PwnedのPwned Passwords APIをk-anonymityで使用します。パスワードはWeb Crypto APIでSHA-1ハッシュ化され、ハッシュの最初の5文字(40文字中)のみがAPIに送信されます。APIはそのプレフィックスに一致するすべてのハッシュサフィックスを返し、ブラウザがローカルで完全なハッシュと照合します。
つまりパスワードはブラウザから出ません — 曖昧なハッシュプレフィックスのみが送信されます。パスワード生成で強力なパスワードを生成することもできます。
避けるべきパスワードの間違い
パスワードを作成する際に避けるべき一般的な間違いです。
短いパスワード — 8文字未満は数秒で解読可能。16文字以上を推奨
辞書の単語 — 「password」「letmein」「qwerty」などの一般的なパスワード
個人情報 — 名前、誕生日、住所などの推測しやすい情報
キーボード配列 — 「123456」「qwertyuiop」などの連続パターン
パスワードの再利用 — 複数のアカウントで同じパスワードを使用
単純な置換 — 「p@ssw0rd」のような文字置換は攻撃者に既知
関連セキュリティ・パスワードツール
パスワード強度チェックに関連する他のDNS Robotツールもご活用ください。