セキュリティガイド

パスワード vs パスフレーズ

ランダム文字パスワードとランダム単語パスフレーズを、記憶しやすさ、エントロピー、保存方法、安全な使用例で比較します。

概要

パスワードは通常、ランダムな文字列です。パスフレーズは通常、単語の連続です。どちらも、ランダムに生成され、ユニークで、安全に保存または記憶されていれば強力です。適切な選択は、最大のコンパクトさ、入力のしやすさ、記憶しやすさのどれを重視するかによって異なります。

ランダムな単語が必要な場合はパスフレーズ生成ツールを、サイトがコンパクトな文字パスワードを期待する場合はパスワード生成ツールを使用してください。

ランダム文字パスワード

ランダム文字パスワードは効率的です。各文字が探索空間を広げます。パスワードマネージャー、管理パネル、WiFi、銀行、メール、開発者用シークレットに最適です。欠点は、覚えにくく、小さなキーボードでの入力が面倒なことです。

ランダム単語パスフレーズ

パスフレーズは読みやすく、入力しやすいです。重要なのは「ランダム」という言葉です。自分で考えた文、引用、歌詞、よく知られたフレーズは、パターンベースのツールに推測される可能性があります。パスフレーズは、十分に大きなリストから独立して選択された単語で構成されるべきです。

実用的な推奨事項

• マネージャーに保存するほとんどのアカウントにはランダム文字パスワードを使用します。
• 覚える必要がある可能性のある認証情報にはパスフレーズを使用します。
• どちらの形式も再利用しないでください。
• 個人的なフレーズ、引用、名前、日付は避けてください。
• 送信先がスペースや区切り文字を受け付けるかどうかを確認してください。

詳細なガイダンス

このガイドは、ランダム文字パスワードとランダムパスフレーズのどちらを選ぶかに焦点を当てています。安全に保存されたパスワードと記憶しやすいログインシークレットの両方を必要とする人向けに書かれているため、実際の目標は劇的なセキュリティ主張を作ることではありません。目標は、日常的な使用（サインインフォーム、パスワードマネージャー、モバイルキーボード、アカウントリカバリ、共有デバイス、奇妙な検証ルールを持つサービス）に耐えられるパスワード習慣を選ぶことです。安全な推奨事項は、実際の人が一貫して従える場合にのみ有用です。

最も安全な出発点は、ランダム性とユニーク性です。ランダム性とは、値が暗号学的に適切な乱数源によって大きな空間から選択され、誕生日、ペットの名前、キーボードパターン、お気に入りの引用から考案されたものではないことを意味します。ユニーク性とは、同じパスワードが他の場所で使用されていないことを意味します。長いが再利用されたパスワードは、無関係な侵害の後にすぐに破られる可能性がありますが、ユニークなランダムパスワードは、使用された単一のアカウントに損害を限定します。

このトピックでは、実用的なプリセットとして、記憶しやすさのために4〜6個のランダム単語、またはパスワードマネージャー保存のためにランダム文字を使用します。このプリセットをパスフレーズ生成ツールで適用し、最終的な値を信頼できるパスワードマネージャーに保存できます。PwdGenはブラウザ内でWeb Cryptoを使用してローカルに値を生成します。生成されたパスワードはPwdGenサーバーに送信されません。このローカル設計によりサーバー側の露出は減りますが、すべての脅威から保護するわけではありません。悪意のあるブラウザ拡張機能、侵害されたデバイス、フィッシングページ、安全でないクリップボード処理は、生成後にシークレットを露出させる可能性があります。

避けるべき最も一般的な問題は、手書きのフレーズ、有名な引用、歌詞、個人のスローガン、人間が選んだ辞書フレーズです。これらの問題が重要なのは、人間の習慣が攻撃者に近道を与える場合、攻撃者はすべての可能なパスワードをブルートフォースする必要がほとんどないからです。クレデンシャルスタッフィング、フィッシング、漏洩したパスワードリスト、アカウントリカバリの悪用は、純粋な数学的探索よりも現実的であることがよくあります。そのため、最善のアドバイスは、パスワードの品質と、MFA、パスキー、リカバリコードの保存、リカバリメールや電話設定の定期的な確認などのアカウントレベルの制御を組み合わせることです。

推奨事項を適用する際は、次のチェックリストを使用してください。

• 自分で考えた文ではなく、ランダムに選択された単語を使用します。
• 区切り文字を送信先フォームと一貫させます。
• パスフレーズをアカウント間で再利用しないでください。
• 長いランダムパスワードにはマネージャーを使用します。

ウェブサイトが理想的な設定を拒否する場合、手動でパスワードを弱いパターンに強制しないでください。一度に1つの変数を調整します。記号が拒否された場合は、大文字、小文字、数字を有効にしたまま長さを増やします。最大長が短い場合は、許容される最大の長さを使用し、値がユニークであることを確認します。パスワードを声に出して読んだり、印刷したり、テレビやルーターの画面で入力したりする必要がある場合は、紛らわしい文字を除外し、より小さいアルファベットを補うために長さを増やすことを検討します。

最後に、パスワードアドバイスの限界を覚えておいてください。強力なパスワードは防御の1つの層であり、保証ではありません。フィッシングページを安全にしたり、マルウェアを修正したり、認証情報を不適切に保存するサービスを補ったりすることはできません。有用な習慣は退屈ですが耐久性があります。ユニークな値を生成し、安全に保存し、リカバリパスを保護し、露出が疑われる場合はすぐに交換します。

よくある質問

パスフレーズは常にパスワードより強いですか？

いいえ。ランダムなパスフレーズは強力ですが、よく知られた引用や文はランダムに選択された単語と同等ではありません。

いつパスフレーズを選ぶべきですか？

手動で覚えたり入力したりする必要がある場合、特にパスワードマネージャーのマスター認証情報にはパスフレーズを選んでください。

パスフレーズは何語使うべきですか？

4つのランダム単語が実用的な出発点です。より価値の高い用途やより小さな単語リストの場合は、単語を追加してください。