上にパスワードを入力すると強度を判定します。
新しいパスワードを決めるときや、いま使っているパスワードが安全かを確かめたいときの強度チェッカーです。パスワードを入力すると、その場で強度を「非常に弱い〜非常に強い」の5段階のメーターで表示し、推定エントロピー(ビット数)・文字数・使われている文字の種類数(プールサイズ)・そして総当たり攻撃で破られるまでのおおよその時間を、オンライン攻撃(毎秒1千回)とオフラインの高速ハッシュ攻撃(毎秒100億回)の2通りで示します。強度は、使っている文字種(英大文字・小文字・数字・記号・日本語などその他)から決まる組み合わせの広さと長さをもとに計算し、abc や 123 のような連続、aaa のような同じ文字の繰り返しは推測されやすいぶん割り引いて評価します。さらに「password」「123456」などのよくある定番パスワードは一瞬で破られるものとして検出し、短すぎる・文字種が1種類だけ・数字だけ、といった弱点には具体的な改善のヒントを表示します。パスワードは極めて秘匿性が高いため、本ツールはすべての処理をあなたのブラウザ内(JavaScript)だけで行い、入力したパスワードをサーバーへ送信・保存・記録することは一切ありません。表示される時間や強度はあくまで攻撃モデルを仮定した目安であり、実際の安全性は使い回しをしないこと・十分な長さにすることが何より重要です。強いパスワードを新しく作りたいときは「パスワード生成」ツールと、ハッシュ値を確認したいときは「ハッシュ生成」ツールと組み合わせて使えます。
使い方
- 診断したいパスワードを入力欄に入力(または貼り付け)します。
- 強度メーターと、エントロピー・文字数・文字種・推定解読時間が即座に表示されます。
- 「改善のヒント」を参考に、長さを増やす・文字種を混ぜるなどして強度を高めます。入力はどこにも送信されません。
よくある質問
入力したパスワードはどこかに送信・保存されますか?
いいえ。判定はすべてあなたのブラウザ内(JavaScript)で行われ、入力したパスワードをサーバーへ送信・保存・記録することは一切ありません。通信は発生しないため、安心して実際のパスワードを試せます。
強度(エントロピーのビット数)はどう計算していますか?
使っている文字種(英大文字・小文字・数字・記号・その他)から1文字あたりの組み合わせの広さを求め、長さを掛けてビット数を概算します。さらに abc や 123 のような連続、aaa のような繰り返しは推測されやすいぶん長さを割り引き、よくある定番パスワードはごく低く評価します。あくまで目安であり、厳密な安全性保証ではありません。
「破られるまでの時間」はどういう意味ですか?
攻撃者が考えうる組み合わせを総当たりで試した場合に、平均でどれくらいかかるかの概算です。Webサービスへのオンライン攻撃(毎秒1千回程度)と、流出したハッシュに対するオフラインの高速攻撃(毎秒100億回程度)の2通りを表示します。実際の速度は攻撃手法やハッシュ方式で大きく変わるため、参考値としてご覧ください。
強いパスワードにするコツは?
最も効くのは長さです。12文字以上、できれば16文字以上にし、英大文字・小文字・数字・記号を混ぜましょう。覚えやすさを重視するなら、無関係な単語をつないだ長い「パスフレーズ」も有効です。何より、同じパスワードを複数のサービスで使い回さないことが重要です。
新しいパスワードを作るにはどうすればいいですか?
本サイトの「パスワード生成」ツールを使うと、暗号学的に安全な乱数で強力なパスワードやパスフレーズをまとめて作れます。作ったものをこの強度チェックに貼り付けて、目安のビット数を確認するとよいでしょう。