パスワード強度チェッカーとジェネレーター

日本語

パスワード強度メーター

このボタン(またはスペース/Enter)を押し続けるとパスワード文字が一時的に表示されます。手を離すと直ちに再び非表示になります。

入力を始めると強度を計算します

推定クラック時間

エントロピー

0 ビット

専用のオフライン機材がこのパスワードを総当たりするのに要する推定時間を示します。

エントロピーはビット単位でランダム性を見積もります。ビット数が多いほど試行回数は指数的に増えます。

アドバイス

  • パスワードが実際にどの程度安全かを確認する
  • 安全でユニークなパスワードをブラウザで簡単に生成します。

強度とクラック時間はオフライン攻撃を前提にした推定値です。ユニークなパスワードに加えて必ず MFA と漏えい監視を併用してください。

パスワードジェネレーター

文字セットを選んで強度を推定しましょう。
サンプル数

最低でも1つの文字セットを選択してください。

パスワード/パスフレーズアクション

生成したサンプルはこのページから離れません。丁寧にコピーし、完了したらクリップボードを消去してください。

ガイド

パスワード手引き

最新のクラック装置は1秒間に兆単位の試行を行います。このパスワード(password)テスターとジェネレーターはブラウザー内で100%完結し、zxcvbnがスコアを算出し Web Crypto が乱数を供給します。

  1. 長くしましょう。1文字追加するたびに探索空間が指数的に広がります。
  2. 再利用は禁止。漏えい情報は反応より速く広がります。
  3. 関連のない単語やフレーズを組み合わせてみましょう(例: "海-レンズ.子午線-ベルベット")。
  4. 秘密のスパイスを加える: 記号、大小切り替え、サポートされていれば絵文字。
  5. パスワードマネージャーで資格情報を保管・同期・監査しましょう。
  6. DevTools → Network タブを開けば常に空のままなので、テストや生成中もデータが送信されていないと確認できます。

よくある質問

パスワードは送信されますか?
いいえ。すべてブラウザー内で処理します。ネットワークタブで確認できます。
スコアは何で算出していますか?
Dropboxが公開しているオープンソースのzxcvbn推定器を使用しています。
強度 = セキュリティですか?
強度は総当たりへの耐性を示す指標です。本当のセキュリティにはMFA、フィッシング対策、漏えい監視も必要です。
本当にオフラインで動作していますか?
zxcvbn のスコアリングとジェネレーターはこのタブで完結します。Web Crypto が乱数を提供し、入力中も Network タブは空なので外部送信はありません。

手法

スコアリングスタック

Dropbox のオープンソース zxcvbn が、各ロケール向けに配布する @zxcvbn-ts/core バンドル経由でライブスコアを提供します。

  • 元プロジェクトの共通辞書に加え、言語固有の語彙を組み合わせています。
  • スコアラベル、エントロピービット、複数のクラック時間推定値を返します。

現在のバージョン 3.0.4

完全ローカル処理

パスワードやエントロピー計算、生成された候補がサーバーへ送られることはありません。UI は DOM・CSS・Web Crypto の乱数だけに触れます。

  • ブラウザーが API を公開していれば Web Crypto が常にジェネレーターにシードを与えます。
  • 入力フィールドには解析、キーログ、リモートイベントを一切紐づけません。

検証ヒント DevTools → 入力中も Network タブは空のままです。

プライバシーとデータの取り扱い

ネットワーク通話はありません

テスターとジェネレーターは、キーストローク、生成されたパスフレーズ、またはテレメトリを送信しません。これは、DevTools の [ネットワーク] タブを監視することで確認できます。入力中にリクエストはありません。

ローカルのみのランダム性

生成されたパスワードは、利用可能な場合は Web Crypto API に依存します。そうでない場合は、出力が基準を満たしているかどうかを判断できるように、JavaScript の PRNG が使用されたことを明確に示します。

分析スクリプトはありません

テスト ビューには分析、ピクセル、サードパーティの広告は埋め込まれません。分析を他の場所に追加する場合、それらはオプトインされ、パスワード フィールドにバインドされることはありません。