安全なパスワードの作り方【2026年版】
NIST SP 800-63B(最新改訂)の方針を踏まえつつ、実務で 使い続けられる 安全なパスワード戦略を解説します。本記事の結論は「長さ × 重複ゼロ × マネージャ × 2要素認証」の4点セットです。
1. 強度を決めるのは「長さ」
パスワードの強度は エントロピー(ビット数) で表します。文字種を増やすより、1文字増やす方が圧倒的に効果的です。
| パターン | エントロピー | 総当りに必要な時間 (10億回/秒想定) |
|---|---|---|
| 8文字 英小+数字 | 約41 bit | 約1分 |
| 8文字 英大小+数字+記号 | 約52 bit | 約53日 |
| 12文字 英大小+数字+記号 | 約79 bit | 約1900万年 |
| 16文字 英大小+数字+記号 | 約105 bit | 事実上不可能 |
あなたが今使っているパスワードの強度は パスワード強度チェック で確認できます。
2. 「定期変更」はもう必要ない
かつての「90日ごとに変更しましょう」というルールは、現在は 非推奨です(NIST SP 800-63B-3)。理由は、強制変更によってユーザがパターン化(例: Password2026! → Password2027!)して、かえって弱くなるからです。
正しい方針: 漏えいの兆候があったときだけ変更する。
3. 推奨ルール
- 長さ12文字以上(できれば16文字)
- サイトごとに別のパスワード(使い回し厳禁)
- 辞書語そのままはNG。パスフレーズ方式(4語以上の英単語ランダム連結)は◎
Brave-Lemon-Tower-Quiet-92 - 誕生日・ペット名・電話番号など SNSから推測できる情報を使わない
- 2要素認証(TOTP/パスキー)を必ず併用
4. パスワードマネージャの選び方
| 製品 | 料金 | 特徴 |
|---|---|---|
| Bitwarden | 無料 / 個人有料 月$1〜 | OSS、信頼性高、自前ホスト可 |
| 1Password | 月$3〜 | UI/UXが洗練、家族共有が便利 |
| iCloud キーチェーン | 無料 | Apple完結なら最強。Windows対応も拡充 |
| ブラウザ内蔵 (Chrome等) | 無料 | ライト用途には十分。マスターパスワードを必ず設定 |
2026年現在は パスキー(passkey)(パスワードレス認証)への移行が進行中。Apple/Google/Microsoft いずれも標準対応しているので、対応サイトでは積極的に切り替えましょう。
5. 漏えいチェック
定期的に「Have I Been Pwned」(haveibeenpwned.com) で自分のメールアドレスの漏えい状況を確認しましょう。漏えいが確認されたサイトのパスワードはすぐに変更します。
関連ツール: パスワード生成 / パスワード強度チェック / ハッシュ生成