パスワード強度チェッカー
任意のパスワードの推定エントロピーとクラック時間。
入力内容はサーバーに送信されません — すべてブラウザ内で動作します。
エントロピー
—
オフライン攻撃時間
—
評価
—
強いパスワードとは
強度はエントロピーのビットで測られます——おおよそ、攻撃者がブルートフォースで破るのに何回推測が必要か。各追加ビットが推測回数を倍にします。40ビット未満は弱い、60ビット以上はオフライン攻撃に対して安全、80ビット以上は大半の用途でやりすぎです。
長さが複雑さに勝ります。「correct horse battery staple」——ランダムな一般的単語4つ——は「P@ssw0rd!」よりエントロピーが高く、かつ覚えやすい。後者は「記号を混ぜる」ルールをすべて満たしていますが、どのクラッカー辞書にも載っています。より良い方法:パスワードマネージャーを使って、すべてのアカウントに20文字のユニークなランダム文字列を生成する。マネージャーのマスターパスワードだけ覚えればよいのです。
Frequently asked questions
パスワード強度はどう測る?
エントロピー(ビット単位)。追加の1ビットごとに必要な推測回数が倍になります。40ビットのエントロピーを持つパスワードはブルートフォースに約1兆回の試行が必要。30ビット未満は弱い;60ビット以上は強い;80ビット以上は大半の消費者用途でやりすぎ。エントロピーは長さと文字セットの多様性に依存します。
「P@ssw0rd!」は強いパスワード?
いいえ。紙の上ではそれなりのエントロピーがありますが、どのパスワードクラッキング辞書にも載っています——「一般的な単語に数字と記号を加える」パターンは攻撃者が最初に試すものです。真のランダム性が文字セットの混合より重要。6単語のランダムパスフレーズ(diceware等)は簡単にこれを上回ります。
実際に何がパスワードを破る?
3つの攻撃、おおよその順序で:(1) クレデンシャル・スタッフィング——攻撃者が漏洩したパスワードを他サイトで再利用。だから再利用しないことが強さより重要;(2) フィッシング——どこかにタイプさせるよう騙す;(3) ブルートフォース——弱いパスワードや盗まれたハッシュへのオフライン攻撃でのみ関係。パスワードマネージャー+2FAで1と2を防げます。
パスワードマネージャーを使うべき?
はい、間違いなく。無料のもの(Bitwarden、KeePass)は優れています。パスワードマネージャーを使うと、どれも覚える必要なく、どこでもユニークな20文字ランダムパスワードが使えます。ハードウェア2FA(YubiKey)またはTOTP(Authy/Google Authenticator)と組み合わせれば、現実世界の攻撃の99%以上を防げます。
Advertisement
728 × 90