パスワードツール ジェネレーターに戻る

セキュリティガイド

パスワードエントロピーの解説

パスワードエントロピー、探索空間、アルファベットサイズ、長さ、そして理論上のビット数が上限推定値に過ぎない理由を理解します。

概要

パスワードエントロピーは、攻撃者が探索する必要のある探索空間の大きさを表す方法です。一様ランダムなパスワードの場合、有用な上限式は次の通りです:

bits = length × log2(alphabet size)

仮定を比較するには、パスワード解読時間計算ツールを使用してください。

アルファベットサイズ

アルファベットサイズは、使用可能な文字の数です。小文字は26通り、大文字+小文字は52通り、数字を加えると62通りになります。記号を加えるとさらにプールを増やせますが、サービスがそれらを受け入れ、生成器がランダムに選択する場合に限ります。

長さ

長さは探索空間を倍増させます。長いランダムパスワードは、予測可能な記号で飾られた短いパスワードよりも、通常、実用的な改善効果が大きくなります。

上限に関する注意

この式は、すべての位置がアルファベットから一様に選択されることを前提としています。人間が作成したフレーズ、使い回しのパスワード、辞書単語、日付、キーボードパターン、漏洩した認証情報、編集された出力には適用されません。また、サービス側のハッシュ化やオンラインのレート制限もモデル化していません。

実用的な推奨事項

詳細なガイダンス

このガイドは、パスワードエントロピーを誇張せずに解釈することに焦点を当てています。長さ、アルファベットサイズ、パスフレーズの単語リストを比較する読者向けに書かれているため、実用的な目標は劇的なセキュリティ主張を作ることではありません。目標は、日常的な使用(サインインフォーム、パスワードマネージャー、モバイルキーボード、アカウントリカバリー、共有デバイス、時々奇妙な検証ルールを持つサービス)に耐えられるパスワード習慣を選ぶことです。安全な推奨事項は、実際の人が一貫して従える場合にのみ有用です。

最も安全な出発点は、ランダム性と一意性を組み合わせることです。ランダム性とは、値が暗号学的に適切な乱数源によって大きな空間から選択され、誕生日、ペットの名前、キーボードパターン、お気に入りの引用から発明されたものではないことを意味します。一意性とは、同じパスワードが他のどこでも使用されていないことを意味します。長いが使い回しのパスワードは、無関係な侵害の後すぐに失敗する可能性がありますが、一意のランダムパスワードは、使用された単一のアカウントに被害を限定します。

このトピックでは、一様ランダムパスワードに対して、長さ×log2(ランダムアルファベットサイズ) という実用的な計算式が便利です。この式をパスワード強度チェッカーで適用し、最終的な値を信頼できるパスワードマネージャーに保存できます。PwdGenはWeb Cryptoを使用してブラウザ内でローカルに値を生成し、生成されたパスワードはPwdGenサーバーに送信されません。このローカル設計によりサーバー側の露出は減りますが、すべての脅威から保護するわけではありません。悪意のあるブラウザ拡張機能、侵害されたデバイス、フィッシングページ、安全でないクリップボードの取り扱いにより、生成後に秘密が露出する可能性があります。

避けるべき最も一般的な問題は、単純な式を人間が選んだパスワードに適用すること、使い回しを無視すること、推定値を保証として扱うことです。これらの問題が重要なのは、人間の習慣が攻撃者に近道を与える場合、攻撃者はすべての可能なパスワードをブルートフォースする必要がほとんどないからです。クレデンシャルスタッフィング、フィッシング、漏洩パスワードリスト、アカウントリカバリーの悪用は、純粋な数学的探索よりも現実的であることが多いです。そのため、最善のアドバイスは、パスワードの品質と、MFA、パスキー、リカバリーコードの保存、リカバリーメールや電話設定の定期的な確認などのアカウントレベルの制御を組み合わせることです。

推奨事項を適用する際は、次のチェックリストを使用してください:

ウェブサイトが理想的な設定を拒否する場合、手動でパスワードを弱いパターンに強制しないでください。一度に一つの変数を調整してください。記号が拒否された場合は、大文字、小文字、数字を有効にしたまま長さを増やしてください。最大長が短い場合は、受け入れられる最大の長さを使用し、値が一意であることを確認してください。パスワードを声に出して読んだり、印刷したり、テレビやルーターの画面で入力する必要がある場合は、紛らわしい文字を除外し、より小さなアルファベットを補うために長さを増やすことを検討してください。

最後に、パスワードアドバイスの限界を覚えておいてください。強力なパスワードは防御の一層であり、保証ではありません。フィッシングページを安全にしたり、マルウェアを修正したり、認証情報を不適切に保存するサービスを補ったりすることはできません。有用な習慣は退屈ですが耐久性があります:一意の値を生成し、安全に保存し、リカバリーパスを保護し、露出が疑われる場合はすぐに交換してください。

安全な次のステップ

このガイドを読んだ後、すべてを一度に修正しようとせず、小さなアカウント監査を一つ行ってください。乗っ取られた場合に最も問題になるアカウントを選び、そのパスワードが一意であることを確認し、リカバリーメール、リカバリー電話、MFA方式、バックアップコードの保存を確認してください。そのチェーンのいずれかの部分が弱い場合は、リスクの低いアカウントに移る前にその部分を改善してください。この順序により、作業を管理可能に保ち、攻撃者が足がかりとして最も利用しそうなアカウントを保護できます。パスワードエントロピーの解説において、最良の結果は反復可能な習慣です:ローカルで生成し、注意深く保存し、使い回しを避ける。

よくある質問

単純なエントロピーの式は何ですか?

一様ランダムな文字の場合、一般的な上限式は長さ×log2(アルファベットサイズ)です。

なぜエントロピーは推定値に過ぎないのですか?

一様ランダム選択を仮定しており、使い回し、漏洩、人間による編集、デバイスの侵害、保存先のストレージを考慮していません。

記号は常にエントロピーを増やしますか?

記号はランダムに選択される場合にアルファベットサイズを増やしますが、長さを増やす方が多くの場合、より大きく使いやすい利点をもたらします。

ソース