端末内で生成するツール
パスワードは、Web Crypto APIを使って現在のブラウザ内で生成されます。生成結果を当サイトのサーバーへ送信、記録、保存する処理はありません。再生成、設定変更、選択、コピーによって、パスワードを含む通信が発生することもありません。
安全に使うための手順
- 利用先が許可する範囲で、できるだけ長い文字数を選びます。パスワードだけでログインする場合は15~16文字以上を目安にします。
- サービスごとに異なるパスワードを生成します。
- 信頼できるパスワード管理ツールへ保存します。
- 対応している場合は、多要素認証またはパスキーを有効にします。
- 他のサービスで同じパスワードを使い回さないでください。
初期値10文字を「普通」と表示する理由
既存仕様との互換性のため初期値は10文字ですが、「強い」とは表示しません。15~19文字は「強い」、20文字以上は利用する文字集合も考慮して「非常に強い」と評価します。実際には、利用先の保存方式や攻撃条件によって安全性は変わります。
ローカル生成で防げないもの
フィッシング、悪意のあるブラウザ拡張、端末上のマルウェア、キーロガー、画面ののぞき見、クリップボード監視は、この生成方式だけでは防げません。コピーした値はOSのクリップボードに残る場合があります。
自分で通信を確認する方法
開発者ツールのNetwork画面を開き、通信一覧を消去してから再生成、設定変更、コピーを実行してください。これらの操作で、生成したパスワードを含むFetch、XHR、Beacon通信が発生しないことを確認できます。