セキュリティガイド

パスワードの長さはどれくらいが適切か？

12、16、20、32文字のどれを選ぶべきか、そしてパスワードの長さ、ユニーク性、保存方法が見た目の複雑さよりも重要な理由を学びます。

概要

最近のほとんどのアカウントでは、16文字のランダムなパスワードが実用的な基準として強力です。重要な個人アカウント、メール、銀行、仕事、管理アカウントには20文字以上を使用してください。パスワードマネージャーに保存され、高価値のアクセスを保護する場合は32文字を使用します。

16文字、20文字、32文字のジェネレーターをお試しください。

長さの区分

短いパスワードは可能な組み合わせが少ないため、推測されやすくなります。6～9文字は通常、アカウントのセキュリティには短すぎます。10～14文字は多くのサービスで受け入れられるかもしれませんが、重要なアカウントの優先的な選択肢として扱うべきではありません。

16文字のランダムなパスワードは、パスワードマネージャーに保存する場合の良いデフォルトです。20文字は、多くのサイトとの互換性を保ちながら余裕を追加します。32文字は、管理パネル、暗号化ファイル、データベース認証情報、ローカルシークレットに役立ちます。

ランダムな長さと人間が作る長さの違い

ランダムな16文字のパスワードは、人間が作った16文字のフレーズとは大きく異なります。人間の選択には、単語、日付、名前、予測可能な語尾が含まれることがよくあります。攻撃者は、盲目的なブルートフォースを試みる前に、これらのパターンをテストします。

実用的な推奨事項

通常の基準として16文字を使用します。
高価値のアカウントには20～32文字を使用します。
記憶性が重要な場合はパスフレーズを使用します。
互換性が必要な場合のみ、記号なしや曖昧さ回避のプリセットを使用します。
長いからといってパスワードを再利用しないでください。

詳細なガイダンス

このガイドは、さまざまなアカウントリスクに応じてパスワードの長さを選択することに焦点を当てています。12、16、20、24、32文字の選択肢を比較している読者向けに書かれているため、実用的な目標は劇的なセキュリティ主張を作ることではありません。目標は、日常の使用に耐えられるパスワード習慣を選ぶことです：サインインフォーム、パスワードマネージャー、モバイルキーボード、アカウントリカバリー、共有デバイス、そして時々奇妙な検証ルールを持つサービス。現実の人が一貫して従える場合にのみ、安全な推奨は有用です。

最も安全な出発点は、ランダム性とユニーク性です。ランダム性とは、値が誕生日、ペットの名前、キーボードパターン、お気に入りの引用から発明されるのではなく、暗号的に適切なランダムソースによって大きな空間から選択されることを意味します。ユニーク性とは、同じパスワードが他のどこでも使用されないことを意味します。長いが再利用されたパスワードは、無関係な侵害の後にすぐに失敗する可能性がありますが、ユニークなランダムパスワードは、使用された単一のアカウントに損害を限定します。

このトピックでは、実用的なプリセットは、通常のアカウントには16文字、重要なアカウントには20文字以上、入力ではなく保存されるシークレットには32文字です。このプリセットを32文字パスワードジェネレーターで適用し、最終的な値を信頼できるパスワードマネージャーに保存できます。PwdGenはブラウザ内でWeb Cryptoを使用してローカルに値を生成します。生成されたパスワードはPwdGenサーバーに送信されません。このローカル設計によりサーバー側の露出は減少しますが、すべての脅威から保護するわけではありません。悪意のあるブラウザ拡張機能、侵害されたデバイス、フィッシングページ、安全でないクリップボード処理は、生成後にシークレットを露出させる可能性があります。

避けるべき最も一般的な問題は、短いランダム値、最大長制限、レガシーフォーム、固定数がすべてのシステムで安全だと仮定することです。これらの問題は、人間の習慣が攻撃者に近道を与える場合、攻撃者がすべての可能なパスワードをブルートフォースする必要がほとんどないため重要です。クレデンシャルスタッフィング、フィッシング、漏洩したパスワードリスト、アカウントリカバリーの悪用は、純粋な数学的検索よりも現実的であることがよくあります。そのため、最善のアドバイスは、パスワードの品質と、MFA、パスキー、リカバリーコードの保存、リカバリーメールや電話設定の定期的な見直しなどのアカウントレベルの制御を組み合わせることです。

推奨事項を適用する際には、次のチェックリストを使用してください：

記号が許可されていない場合は、より長い長さを使用します。
保存する前に、宛先の最大長を確認します。
便利さのためにパスワードを短くしないでください。
記憶が重要な場合はパスフレーズを使用します。

ウェブサイトが理想的な設定を拒否する場合、パスワードを手動で弱いパターンに強制しないでください。一度に1つの変数を調整します。記号が拒否された場合は、大文字、小文字、数字を有効にしたまま長さを増やします。最大長が低い場合は、受け入れられる最大の長さを使用し、値がユニークであることを確認します。パスワードを声に出して読んだり、印刷したり、テレビやルーターの画面で入力したりする必要がある場合は、混乱しやすい文字を除外し、より小さいアルファベットを補うために長さを増やすことを検討します。

最後に、パスワードアドバイスの限界を覚えておいてください。強力なパスワードは防御の1つの層であり、保証ではありません。フィッシングページを安全にしたり、マルウェアを修正したり、認証情報を不適切に保存するサービスを補ったりすることはできません。有用な習慣は退屈ですが耐久性があります：ユニークな値を生成し、安全に保存し、リカバリーパスを保護し、露出が疑われる場合はすぐに交換します。

よくある質問

12文字で十分ですか？

ランダムな12文字のパスワードは互換性のために有用ですが、サービスが受け入れる場合は16文字以上がより良いデフォルトです。

20文字または32文字はいつ使用すべきですか？

重要なアカウントには20文字以上、パスワードマネージャーに保存される管理、暗号化ファイル、開発者シークレットのワークフローには32文字を使用します。

パスワードが長すぎることはありますか？

一部のサービスは最大長を課したり、記号を拒否したりします。宛先が受け入れる最長のユニークなランダム値を使用してください。

ソース

NIST SP 800-63B — Password verifier requirements