生成されたパスワードはどこかに保存されますか？

いいえ。パスワードはブラウザ内で生成され、サーバーへの送信は一切行いません。ページを閉じると生成結果は消えますので、必ずコピーして安全な場所に保存してください。

何文字以上にすればよいですか？

最低12文字、可能であれば16文字以上を推奨します。NIST SP 800-63Bガイドラインでは8文字以上を最低要件としていますが、現代の計算能力を考慮すると12文字以上が安全です。

記号を含めないとダメですか？

記号を含めると文字種が増えてエントロピーが上がりますが、パスワードの長さの方が重要です。記号なし16文字の方が、記号あり8文字よりもはるかに強力です。

紛らわしい文字の除外とは？

0（ゼロ）とO（オー）、l（エル）と1（イチ）とI（アイ）など、フォントによっては区別しにくい文字を除外する機能です。パスワードを手入力する場面がある場合に便利です。

ライフスタイル

パスワード生成ツール

安全なランダムパスワードを即座に生成。大文字・小文字・数字・記号の組み合わせ、パスワード強度の判定機能付き。

パスワードの長さ16文字

4163264

使用する文字

大文字 (A-Z)小文字 (a-z)数字 (0-9)

記号

紛らわしい文字を除外（0, O, l, 1, I）

このツールについて問い合わせる →

パスワード生成ツールについて

安全なパスワードとは？

安全なパスワードとは、第三者が推測や総当たり攻撃（ブルートフォース）で突破しにくいパスワードです。一般的に以下の条件を満たすことが推奨されています。

12文字以上：長いほど総当たり攻撃への耐性が飛躍的に上がります
大文字・小文字・数字・記号を混在：文字種が増えると組み合わせ数が爆発的に増加
辞書に載っている単語を避ける：辞書攻撃への対策
個人情報を含めない：名前、生年月日、電話番号などは推測されやすい

パスワード強度（エントロピー）について

エントロピー（情報量）はパスワードの強度を数値で表す指標で、単位はビットです。エントロピーが高いほど、パスワードを破るのに必要な試行回数が増えます。

エントロピー = パスワード長 × log₂(文字種の数)

28ビット未満：非常に弱い（数秒〜数分で突破可能）
36〜59ビット：普通（オフライン攻撃に対してやや脆弱）
60〜79ビット：強い（現実的な時間内での突破は困難）
80ビット以上：非常に強い（量子コンピュータでも時間がかかるレベル）

パスワード管理のベストプラクティス

強いパスワードを生成しても、管理方法が悪ければ意味がありません。

サービスごとに異なるパスワード：1つのサービスが漏洩しても他に影響しない
パスワードマネージャーを使う：1Password、Bitwarden、Google パスワードマネージャーなど
二段階認証（2FA）を併用：パスワードが漏洩しても二段階認証があれば防御可能
定期的な変更は不要：NIST（米国標準技術研究所）は、漏洩がない限り定期変更は推奨していません

よくある質問

Q. 生成されたパスワードはどこかに保存されますか？: いいえ。パスワードはブラウザ内で生成され、サーバーへの送信は一切行いません。ページを閉じると生成結果は消えますので、必ずコピーして安全な場所に保存してください。
Q. 何文字以上にすればよいですか？: 最低12文字、可能であれば16文字以上を推奨します。NIST SP 800-63Bガイドラインでは8文字以上を最低要件としていますが、現代の計算能力を考慮すると12文字以上が安全です。
Q. 記号を含めないとダメですか？: 記号を含めると文字種が増えてエントロピーが上がりますが、パスワードの長さの方が重要です。記号なし16文字の方が、記号あり8文字よりもはるかに強力です。
Q. 紛らわしい文字の除外とは？: 0（ゼロ）とO（オー）、l（エル）と1（イチ）とI（アイ）など、フォントによっては区別しにくい文字を除外する機能です。パスワードを手入力する場面がある場合に便利です。

出典・参考文献

TOTP の仕組み — 6 桁コードがどう 30 秒同期するのか、RFC 6238 と HMAC-SHA-1 を読む

Google Authenticator / Authy で表示される 6 桁の数字、なぜ世界中のスマホとサーバで 30 秒ごとに同じ値になるのか。RFC 4226 (HOTP)、RFC 6238 (TOTP)、HMAC-SHA-1 の動的トランケーションを式と擬似コードで解読し、Passkey への移行潮流まで整理します。

Fisher-Yates シャッフル — くじ引き・ルーレットを支える 1938 年生まれの「公平な並び替え」アルゴリズム

「配列をランダムに並び替える」コードを書くとき、`arr.sort(() => Math.random() - 0.5)` と書いていませんか? 実はこれは偏ります。1938 年 Fisher & Yates の統計学テーブルから始まり、1964 年 Durstenfeld が線形時間化、1969 年 Knuth が TAOCP で標準化 — 公平なシャッフルの正解アルゴリズムを一次資料で整理します。

Mersenne Twister 1998 — サイコロ・くじ引き・パスワードを支える日本発の世界標準乱数アルゴリズム

Python の random、C++ の <random>、PHP の mt_rand、Excel の RAND、MATLAB / R / Ruby — 世界の主要言語のデフォルト乱数の中核に「メルセンヌ・ツイスタ」(松本眞・西村拓士 1998) があります。周期 2^19937-1、広島大学発の日本発標準アルゴリズムを一次資料で読み解きます。

パスワード強度とエントロピー — Shannon と NIST SP 800-63B の数学

「強いパスワード」とは何か。Shannon の情報エントロピー理論と NIST SP 800-63B (2017年改訂) に基づいて、ビット単位で定量化できます。記号混在が実は大した足しにならない理由、Diceware 方式、定期変更が禁忌となった背景を一次資料で解説します。