🎨Tool Palette
← ツール一覧に戻る

ガイド

パスフレーズとは?安全なパスワードの作り方を徹底解説

「パスワードは複雑にしなければならない」という常識が変わりつつあります。セキュリティの専門家が推奨する「パスフレーズ」とは何か、なぜ安全なのかを詳しく解説します。

目次

  1. 1. パスフレーズとは
  2. 2. なぜパスフレーズが推奨されるのか
  3. 3. エントロピーとパスワード強度
  4. 4. パスワード vs パスフレーズの比較
  5. 5. 安全なパスフレーズの作り方
  6. 6. やってはいけないパスワードの習慣
  7. 7. パスフレーズ運用のベストプラクティス
  8. 8. よくある質問

1. パスフレーズとは

パスフレーズとは、複数のランダムな単語を組み合わせて作るパスワードのことです。例えば「Sunset-Bridge-742-Falcon」のようなものがパスフレーズです。

従来のパスワード(例:「X#9kL2$m」)は短くて記憶しにくいのに対し、パスフレーズは長くても意味のある単語の組み合わせなので直感的に覚えやすいのが特徴です。

この概念は暗号学者のArnold Reinholdが1995年に提案した「Diceware」方式に遡ります。サイコロを使ってランダムに単語を選ぶことで、人間が作りがちな偏ったパスワードの弱点を克服しました。

2. なぜパスフレーズが推奨されるのか

米国国立標準技術研究所(NIST)は、2017年のガイドライン改訂で「複雑さよりも長さ」を重視する方針に転換しました。これは以下の理由によります。

覚えやすさと安全性の両立

複雑なパスワードは覚えられないため、ユーザーは付箋にメモしたり、複数のサービスで使い回したりしてしまいます。パスフレーズならイメージで記憶できるため、こうした危険な行動を減らせます。

総当たり攻撃への耐性

パスフレーズは文字数が長くなるため、総当たり攻撃(ブルートフォースアタック)に対して非常に強い耐性を持ちます。4つのランダムな単語を組み合わせるだけで、8文字のランダムパスワードと同等以上の強度になります。

辞書攻撃にも有効

単語を使うため辞書攻撃に弱いと思われがちですが、ランダムに選ばれた4つの単語の組み合わせは天文学的な数になります。EFF Diceware Word Listの7,776単語から4語を選ぶと約3兆5千億通り、さらに数字や位置の変動を含めると試行回数は膊大です。

3. エントロピーとパスワード強度

パスワードの強度は「エントロピー」(情報量)で測定されます。単位はビットで、値が大きいほど解読が困難です。

エントロピーの計算式:

エントロピー = log₂(候補数) × 選択回数

例えばEFF Diceware Word Listの7,776語から4語を選ぶ場合、エントロピーは log₂(7776) × 4 ≈ 51.7ビットとなります。さらに3桁の数字(約10ビット)と挿入位置(約2.3ビット)を加えると、合計約64ビットとなります。

一般的に、オンライン攻撃に耐えるには40ビット以上、オフライン攻撃には80ビット以上が推奨されます。単語数を増やせば容易に強度を上げることができます。

4. パスワード vs パスフレーズの比較

項目従来のパスワードパスフレーズ
X#9kL2$mSunset-Bridge-742-Falcon
覚えやすさ❌ 非常に困難✅ イメージで記憶
入力しやすさ❌ 特殊文字が面倒✅ 普通の単語
ブルートフォース耐性⚠️ 長さ依存✅ 文字数が長い
使い回しリスク⚠️ 覚えられず使い回しがち✅ サービスごとに生成しやすい

5. 安全なパスフレーズの作り方

ルール1: ランダム性を確保する

人間が「ランダムに」選んだつもりの単語には偏りがあります。必ずコンピュータの乱数生成器やサイコロなど、真にランダムな方法で単語を選んでください。

ルール2: 最低4語以上を使う

セキュリティの観点からは最低4語、重要なアカウントには6語以上を推奨します。単語数が1つ増えるだけでエントロピーが大幅に向上します。

ルール3: 数字や記号を追加する

単語の間に数字を挿入したり、区切り文字を使ったりすることで、さらに強度が向上します。ただし、複雑にしすぎて覚えられなくなっては本末転倒です。

ルール4: 意味のある文章にしない

「I-Love-My-Dog」のような意味のある文章はパスフレーズとしては不適切です。攻撃者は自然な文章パターンを優先的に試行するため、必ずランダムな単語の組み合わせにしてください。

6. やってはいけないパスワードの習慣

同じパスワードの使い回し

1つのサービスが漏洩すると、すべてのアカウントが危険にさらされます。

個人情報をパスワードに使用

誕生日、ペットの名前、電話番号などはSNSから推測できます。

キーボードパターンの使用

「qwerty」「123456」「asdfgh」などは最初に試される配列です。

付箋やテキストファイルへの保存

パスワードを安全に管理するにはパスワードマネージャーを使いましょう。

7. パスフレーズ運用のベストプラクティス

パスワードマネージャーと併用する

マスターパスワードにパスフレーズを使い、個別のパスワードはマネージャーに任せるのが理想です。

二要素認証を併用する

パスフレーズだけでなく、二要素認証(2FA)を設定することで、さらにセキュリティが向上します。

定期的に重要なパスフレーズを更新する

漏洩の兆候がなくても、半年〜1年ごとに重要なアカウントのパスフレーズを更新することをおすすめします。

漏洩通知サービスを活用する

Have I Been Pwned などのサービスで、自分のメールアドレスが漏洩していないか定期的にチェックしましょう。

8. よくある質問

Q. パスフレーズの単語はどの言語でもいい?

基本的にはどの言語でも構いませんが、サービスによっては入力できる文字に制限がある場合があります。英語(ASCII文字)を使うのが最も互換性が高くおすすめです。

Q. パスフレーズは長すぎないの?

確かに文字数は多くなりますが、パスワードマネージャーを使えば入力の手間はほぼゼロです。マスターパスワード以外は自動入力に任せましょう。

Q. このツールで生成したパスフレーズは安全?

はい。Web Crypto APIを使用した暗号学的に安全な乱数でパスフレーズを生成しています。また、すべての処理はブラウザ上で完結し、生成されたパスフレーズがサーバーに送信されることはありません。

Q. 4語で本当に十分?

一般的なオンラインサービスなら4語+数字で十分な強度があります。暗号通貨のウォレットや機密性の高いアカウントには6語以上を推奨します。

さっそくパスフレーズを生成してみましょう

ブラウザ上ですべて完結するため、安心してお使いいただけます。

パスフレーズ生成ツールを使う →