Stax
Tools

Password Strength Checker

Check password strength with real-time score and crack time estimate.

Your password never leaves your browser — analysis runs locally.

避けるべき一般的なパスワードの失敗

2025年パスワードガイド

表示される推定解読時間は、最新のGPU(約100億回/秒の推測)によるオフラインブルートフォース攻撃を前提としています。計算には使用する文字プールのサイズ——小文字のみ(26)、大小混合(52)、英数字(62)、記号あり(94)——をパスワードの文字数乗した値が考慮されます。すべての文字種を使った10文字パスワードは94^10≈53京通りの組み合わせを持ちます。毎秒100億回の推測では約61日かかります。16文字のフル文字種パスワードは数百万年かかります。

二要素認証は強力な第二の防御層ですが、パスワードを無意味にするわけではありません。弱いパスワードは過去の情報漏洩からのクレデンシャルスタッフィングリストに含まれる可能性が高く、攻撃者はブルートフォースを試みる前に既知のパスワードとメールアドレスの組み合わせを試します。SMSベースの2FAもSIMスワップで回避される可能性があります。強力で一意のパスワードとアプリベースの2FA(Google Authenticator、Authy)またはハードウェアキーを組み合わせることで、銀行・メール・投資プラットフォームなど重要なアカウントに最高の保護が得られます。

k#9Lm$2pQx!vのようなランダムな12文字の文字列はエントロピーが非常に高いものの、ほぼ暗記不可能です。correct-horse-battery-staple-rainのような5単語のパスフレーズは覚えやすく、エントロピーも同等です(2,000語リストから5単語 = 2000^5通り)。手動で入力する必要があるアカウント(PCログインなど)ではパスフレーズが有利です。それ以外はパスワードマネージャーと自動生成されたランダム文字列を使いましょう。

  • 個人情報の使用——誕生日、名前、電話番号はSNSから推測可能で、標的型攻撃では最初に試されます。
  • 単純な置き換え——「P@ssw0rd」はクラッカーに知られています。辞書攻撃は一般的な置き換え(a→@、o→0、i→1)も対象にしています。
  • パスワードの使い回し——あるサイトが侵害されると、攻撃者は同じパスワードを他のサイトで試します(クレデンシャルスタッフィング)。
  • 短いパスワード——文字のみの8文字パスワードは最新のハードウェアで数秒で解読されます。
  • 最低12文字、重要なアカウントには16文字以上
  • パスワードマネージャーを使う——パスワードを使い回さない
  • できる限り二要素認証(2FA)を有効にする
  • 重要なアカウントにはハードウェアセキュリティキー(YubiKey)を使用
  • メール・パスワードが既知の漏洩に含まれているかHave I Been Pwnedで確認する

よくある質問

Is my password sent to a server?
No. This tool runs entirely in your browser using JavaScript. Your password is never transmitted over the network or stored anywhere. You can verify this by disconnecting from the internet and trying it — it will still work.
What makes a password strong?
A strong password has: (1) at least 12 characters (16+ is better), (2) a mix of uppercase and lowercase letters, (3) at least one number, (4) at least one special character (!@#$%^&*), and (5) no predictable patterns or dictionary words. The longer and more random, the better.
How is crack time estimated?
Crack time is estimated based on the size of the character pool used (lowercase = 26, uppercase = 26, digits = 10, symbols = 32) and the password length. The number of possible combinations is pool^length. Assuming a modern GPU can test 10 billion guesses per second, the time to exhaust all possibilities is calculated. This is a conservative offline brute-force estimate.
What is a passphrase and is it better than a password?
A passphrase is a sequence of 4–6 random words (e.g., 'correct horse battery staple'). It can be extremely secure (entropy from word combinations is high) and much easier to remember than a random character string. A 4-word passphrase from a 2,000-word dictionary has 2000^4 = 16 trillion combinations, which is stronger than most 10-character passwords.
Should I use a password manager?
Yes — password managers (Bitwarden, 1Password, KeePass) generate and store unique, highly random passwords for every site. You only need to remember one master password. This eliminates password reuse, which is the most common cause of account breaches.

関連ツール