パスワードの強度とは？安全な文字数とエントロピーの目安

パスワードの強度とは

パスワードの「強さ」は、破られにくさや推測されにくさで決まります。より複雑で長いパスワードほど、攻撃者による全て試行攻撃（ブルートフォース攻撃）に対する耐性が高くなります。

パスワードの強度は、エントロピーという指標を使って定量的に測定できます。エントロピーはビット数で表され、値が高いほど試行回数が多く必要になるため、破られにくいパスワードということになります。

パスワードのエントロピーは、以下の計算式で求められます。

エントロピー (ビット数) = パスワード長 × log₂(文字種の数)

例えば、大文字・小文字・数字・記号を組み合わせた94種類の文字から16文字のパスワードを生成した場合:

16 × log₂(94) ≈ 16 × 6.55 ≈ 105ビット

以下の表に、実際の文字種とパスワード長による、エントロピーの目安を示します。

文字種	文字数	パスワード長	エントロピー	強度レベル
小文字のみ (a-z)	26	8文字	約38ビット	弱い
小文字のみ (a-z)	26	12文字	約56ビット	普通
英大小+数字	62	8文字	約48ビット	普通
英大小+数字+記号	94	12文字	約79ビット	強い
英大小+数字+記号	94	16文字	約105ビット	非常に強い
英大小+数字+記号	94	20文字	約131ビット	非常に強い

多くのセキュリティ専門機関では、最低12文字以上のパスワードを推奨しています。より詳細には:

ランダム生成パスワードの強度は、エントロピーのビット数で以下のように分類されることが多いです（業界で広く使われている目安であり、公的な規格ではありません）。

重要な点として、文字種を増やすよりも長さを増やす方が効果的です。たとえば、8文字で全94種の文字を使用した場合は約52ビットですが、12文字で小文字と数字のみ（36種）でも約62ビットになります。

強力で安全なパスワードを作成するためのガイドラインです。

複数の文字種を組み合わせる: 大文字・小文字・数字・記号を混在させる
十分な長さを確保する: 最低12文字以上、理想的には16文字以上
辞書に載った単語を避ける: 「password」「12345678」など予測しやすい文字列を使わない
個人情報を含めない: 名前、誕生日、電話番号など推測可能な情報は避ける
サービスごとに異なるパスワードを使う: 同じパスワードの使い回しは避け、1つが漏洩した場合の被害を最小化する
パスワードマネージャーを活用: 複数の強力なパスワードを管理するのは難しいため、パスワードマネージャー（Bitwarden、1Password、LastPassなど）の使用を推奨
パスフレーズも有効: ランダムな単語を組み合わせた覚えやすい長い文字列も、十分なエントロピーがあれば有効な選択肢です

以下は避けるべき一般的なパスワード作成の誤りです。

単純な置換の使用: 「P@ssw0rd」のように単語の一部を記号や数字に置き換えるだけでは、辞書攻撃に対して十分な保護にはなりません。攻撃ツールはこのような一般的なパターンを認識しています。
定期的な変更を強制する: NIST SP 800-63-4では、十分に強いパスワードを使用している場合、定期的な変更を強制する必要はないと述べています。むしろ定期変更を強制すると、ユーザーは短く覚えやすいパスワードに妥協しやすくなり、全体的なセキュリティが低下する傾向があります。
同じパスワードの使い回し: 複数のサービスで同じパスワードを使用すると、1つのサービスが攻撃されて漏洩した場合、他のサービスも危険にさらされます。

AnzenPassでは、業界で広く使われているエントロピーの目安に基づき、生成したパスワードの強度を5段階で表示しています。

パスワードを生成する際に、これらのインジケーターを参考にして、十分な強度のパスワードを選択してください。