Security guide

強いパスワードの作り方と使い方

文字数、使い回し防止、保管、多要素認証、フィッシング対策を実践的に整理します。

先に結論

強いパスワードは、利用先ごとに異なり、用途に合った十分な長さがあり、安全に保管されているものです。パスワードだけでログインする場合は15文字以上を目安にし、パスワード管理ツールと多要素認証またはパスキーを組み合わせます。

実践チェックリスト

1. サービスごとに新しい値を生成する。
2. 単一要素のログインでは15～16文字以上を優先する。
3. 利用先が許可する文字を広く使う。
4. 信頼できるパスワード管理ツールへ保存する。
5. 多要素認証またはパスキーを有効にする。
6. 突然表示されたログイン画面や復旧要求を疑う。

文字種だけでは不十分

短い文字列に記号を1個加えただけで自動的に安全になるわけではありません。辞書語の末尾に 1! を付けるような人間の規則は、攻撃側が優先して試す可能性があります。

使い回しをしない

一つのサービスから認証情報が漏れると、同じパスワードを使っている他のサービスも狙われます。管理ツールを使えば、覚えにくいランダムな値でもサービスごとに分けて運用できます。

パスワードだけではフィッシングを防げない

偽のログイン画面へ入力すれば、長いパスワードでも盗まれます。利用できる場合は、多要素認証やフィッシング耐性を持つパスキーを追加してください。

漏えいが疑われる場合

信頼できる端末からパスワードを変更し、ログイン中のセッションを解除し、復旧情報を確認します。使い回していた場合は、同じ値を使ったすべてのサービスを変更してください。