Security guide

パスワードの長さ：10・15・16・20文字の違い

初期値10文字を「普通」と評価する理由と、用途別の文字数の考え方を説明します。

先に結論

10文字のランダムな値を受け付けるサービスは多くありますが、このツールでは「強い」ではなく「普通」と表示します。パスワードだけでログインするアカウントでは15～16文字以上を選び、重要な用途では利用先が許す範囲で20文字以上を検討してください。

このツールの評価帯

• 6～9文字: 弱い。通常のアカウント用パスワードには不十分です。
• 10～14文字: 普通。互換性のための初期値ですが、推奨到達点ではありません。
• 15～19文字: ランダム生成し、使い回さない場合は強いと評価します。
• 20～64文字: 十分な文字集合から生成した場合、非常に強いと評価できます。

一律の「解読時間」を表示しない理由

攻撃速度は、利用先のハッシュ方式、オンライン・オフラインの違い、試行回数制限、攻撃者の機材、文字列が本当にランダムかによって変わります。単一の解読時間を断定すると、誤った安心につながります。

ランダム生成と人が考えた文字列

同じ16文字でも、人が作った値には名前、日付、キーボード配列、繰り返しなどの予測可能な規則が含まれやすくなります。ランダム生成は、そのような人間の偏りを避けます。

利用先の制限

最大文字数や使用可能な記号はサービスごとに異なります。利用先が許す最長の一意なランダム値を選び、一つのサービスの制限に合わせて他のアカウントまで短くしないでください。