パスワード強度チェッカーとは？

パスワード強度チェッカーは、入力されたパスワードをリアルタイムで分析し、クラッキング攻撃に対する耐性を評価します。一般的なパターン、辞書に載っている単語、エントロピーをチェックし、正確な強度スコアを算出します。現代のセキュリティ基準を満たすパスワードかどうかを確認するのに最適です。

解析エンジンはDropboxがオープンソース化したzxcvbn。よく使われる3万件のパスワード、漏洩データベース、英語辞書、姓リスト、日付やキーボード列、l33tや特殊文字置換など予測パターンを内蔵します。スコアは0-4、攻撃シナリオ別(オンライン低速、オンライン無制限、オフライン低速ハッシュ、オフライン高速ハッシュ)の解読時間も同時に表示。

使い方

1. 入力欄にパスワードを入力するか貼り付けて、分析を開始します
2. 強度スコア、推定解読時間、弱点に関する具体的なフィードバックを確認します
3. 提案に基づいてパスワードを改善し、「強い」または「非常に強い」の評価を目指しましょう

使用するタイミング

• 覚えやすいパスワードをマネージャのマスターに採用する前の正気度チェック。
• 職場のパスワードポリシー検証:「会社名2024!」は本当に基準を満たすのか確かめる。
• 技術に疎い家族に、ペット名パスワードがなぜ弱いかを実演する。

結果

「Tr0ub4dor&3」と入力すると、混合文字を使用しているものの予測可能な置換パターンに従っているため、「普通」と評価されます。一方、「correct-horse-battery-staple」のようなランダムなパスフレーズは、小文字とハイフンのみでもより高いスコアを獲得します。

よくある質問

0から4のスコアはそれぞれどんな意味?

0は1秒未満で破られる、1はオンライン数時間・オフライン数秒、2はオンラインに耐えオフラインで陥落、3は妥当、4は毎秒100億試行のGPUファームでも数世紀かかるレベルです。

なぜ「Tr0ub4dor&3」が「correct horse battery staple」より低スコア?

前者は既知のパターン(辞書語+l33t置換+記号+数字)を踏むため、攻撃者のルールリストが優先的に試します。4単語ランダムは組み合わせ数が桁違いに多く、エントロピーが大幅に上回ります。

入力したパスワードはどこかに送信される?

強度のスコアリングはすべてご自身のデバイス上、このページのJavaScript内で行われ、入力中にネットワーク通信は一切発生しません。唯一の任意の例外が漏洩チェックです。押すとパスワードのSHA-1ハッシュの先頭5文字だけが送信され(k-anonymity)、パスワード自体は入力欄から外に出ません。タブを閉じれば何も残りません。

「あなたのパスワードは漏洩データにある」と警告された、信用できる?

判定は2段階です。即時の警告は、RockYou等の漏洩から頻度順に並べたzxcvbn内蔵の3万件リストとオフラインで照合した結果です。リアルタイムの答えが欲しいときは「漏洩を確認」を押してください。k-anonymity方式でHaveIBeenPwnedのデータベースを照会し(ハッシュ先頭5文字のみ送信)、そのパスワードが実際の漏洩で何回見つかったかを正確に表示します。

解読時間はどのシナリオを基準にすべき?

ほとんどのアカウントでは「オフライン低速ハッシュ」が指標です。データベース漏洩後にhashcatで攻撃される現実のシナリオがこれだから。最低でも「数世紀」を狙いましょう。通常はスコア3-4、12文字以上が必要です。

関連ツール