ツールナビ
パスワード 登録不要 無料 ブラウザ完結

パスワード生成ツール(無料・エントロピー表示・パスフレーズ対応)

パスワードを無料で即生成。4〜128文字・文字種自由設定・強度メーター・エントロピーbits・推定クラック時間・パスフレーズモード・一括20個生成・CSV出力に対応。Web Crypto APIで暗号学的に安全な乱数を使用。登録不要・ブラウザ完結・サーバー送信なし。

最終更新:2026年5月18日

ブラウザ完結・サーバー送信なし — 生成したパスワードはインターネットに送信されません。Web Crypto API(暗号学的安全乱数)使用。
Tr7#mK9pLq2@nB4x
非常に強い
エントロピー: 104.8bits クラック推定: 数十億年以上
プリセット:
4文字 128文字
文字種

使い方ガイド(各機能の詳細)

プリセットで即設定

「短(8文字)」「中(16文字)」「長(24文字)」「最強(32文字)」のプリセットボタンで、よく使う設定をワンクリックで切り替えられます。銀行・SNS・業務システムなど用途に応じて使い分けましょう。

パスフレーズモード(覚えやすい+強力)

「パスフレーズ」タブでは、無関係な日本語/英語単語を組み合わせたパスワードを生成します。例: 犬-月-青空-走れ-23。ランダム文字列より覚えやすく、NIST SP 800-63Bでも推奨されています。

エントロピー(bits)の見方

エントロピーはパスワードの「情報量」を表します。50bits未満: 脆弱、60bits以上: 実用レベル、80bits以上: 非常に強力、100bits以上: 事実上解読不可。一般的なWebサービスでは70〜80bitsを目安にしてください。

紛らわしい文字の除外

「紛らわしい文字を除外」にチェックを入れると、0(ゼロ)とO(大文字オー)、1(いち)とl(小文字エル)とI(大文字アイ)が文字列から除外されます。手打ち入力が必要な場面で便利です。

一括生成・CSVダウンロード

件数スライダー(1〜20個)で同時生成数を設定し「一括生成」ボタンで生成。「CSVダウンロード」ボタンで全パスワードをCSVファイルに保存できます。複数アカウントの初期パスワード設定や管理者作業に便利です。

セキュリティ:ブラウザ完結とWeb Crypto API

本ツールはすべての処理をブラウザ内で完結させています。生成したパスワードはサーバーに送信されません。乱数生成には crypto.getRandomValues()(Web Crypto API)を使用しており、Math.random() よりも暗号学的に安全な乱数が得られます。

他社パスワード生成サービスとの機能比較

主要なパスワード生成ツールと本ツールを比較しました(2026年5月調査)。

サービス 最大文字数 パスフレーズ エントロピー 一括生成 CSV出力
本ツール(tools-navi.jp) 128文字 対応 bits表示 20個 CSV対応
LastPass パスワードジェネレーター 99文字 対応 なし 1個のみ なし
1Password ジェネレーター 100文字 対応 なし 1個のみ なし
random.org 32文字 なし なし 100個 なし
LUFT パスワード生成ツール 40文字 なし なし 1000個 テキスト
ちょっと便利帳 生成機能なし なし なし なし なし

※ 本ツールの優位点: 128文字対応・エントロピーbits表示・パスフレーズモード・生成+強度チェック+一括+CSVを1ツールで完結・完全無料・ブラウザ完結。

強いパスワードとは(NIST SP 800-63B 準拠解説)

NIST SP 800-63B(2017年)の主要ガイドライン

米国国立標準技術研究所(NIST)が定めたパスワードガイドライン「SP 800-63B」は、日本の金融機関・企業でも参照される国際標準です。主要ルールをまとめました。

推奨(DO)

  • 最低8文字以上(重要システムは12〜16文字以上)
  • 長さを優先: 複雑な記号より長いパスワードの方が安全
  • パスフレーズ活用: 無関係な単語を複数つなげる
  • パスワードマネージャー(Bitwarden・1Password等)で管理
  • サービスごとに異なるパスワードを使う

非推奨(DON'T)

  • 定期的な強制変更(不要。漏洩時のみ変更が最新ガイドライン)
  • 複雑すぎる記号要求(覚えられず使い回しを招く)
  • パスワードヒント・秘密の質問(推測されやすい)
  • 使い回し(1サービス流出で全アカウントが危険に)
  • 辞書単語・連続数字(123456・password等)

文字数別・エントロピーとクラック時間の目安

文字数 文字種 エントロピー オンライン攻撃(毎秒100回) オフライン攻撃(毎秒10億回)
8文字英小文字のみ約37.6bits数週間約3分
8文字英大小+数字+記号約52.4bits数年約1時間
12文字英大小+数字+記号約78.6bits数百万年数十万年
16文字英大小+数字+記号約104.8bits事実上不可事実上不可

※ エントロピー = log2(文字種数) × 文字数。オフライン攻撃は毎秒10億回試行を仮定した理論値。

シーン別推奨設定(銀行 / SNS / 業務 / EC)

銀行・金融サービス

推奨文字数
16文字以上
エントロピー目標
100bits以上
文字種
大文字・小文字・数字・記号(全て有効)

最も攻撃対象になりやすいサービス。最強プリセット(32文字)の使用を推奨。パスワードマネージャーと必ず組み合わせてください。

SNS(X・Instagram等)

推奨文字数
12〜16文字
エントロピー目標
80bits以上
MFA
認証アプリ(TOTP)を必ず有効化

アカウント乗っ取りで友人への詐欺DM送信リスクがあります。「長(24文字)」プリセット推奨。二段階認証を必ず設定してください。

業務システム・クラウド

推奨文字数
16〜24文字
エントロピー目標
90bits以上
管理
企業向けパスワードマネージャー必須

一人のアカウント漏洩が組織全体のリスクに。ITセキュリティポリシーに従いつつ、最低16文字を目安にしてください。

ECサイト・通販

推奨文字数
12〜16文字
エントロピー目標
75bits以上
注意
クレジットカード情報紐付きサービスは特に重要

カード情報が登録されているECサイトは銀行と同等の危険度。サービスごとに必ず異なるパスワードを使用してください。

パスワード管理の基本(マネージャー・使い回し防止)

パスワードマネージャーを使うべき理由

一般的なインターネットユーザーは平均100〜200サービスのアカウントを持つと言われています。全てを異なる強力なパスワードで管理しようとすると、人間の記憶力には限界があります。パスワードマネージャーはこの問題の唯一の現実的な解決策です。

Bitwarden(無料・オープンソース)

個人利用は完全無料。オープンソースで透明性が高く、独立セキュリティ監査済み。iOS・Android・主要ブラウザ対応。日本語UI完備。

無料で始めたいならまずこれ

1Password(月額250円〜)

UI/UXが洗練されており使いやすい。旅行者モード・Watchtower(漏洩通知)・ファミリープラン対応。企業利用にも最適。

快適さ最優先ならこれ

Google パスワードマネージャー(無料)

Chromeブラウザに統合済みで追加インストール不要。Androidとの連携が特に優秀。スマホがAndroidメインならすぐ使えて便利。

すでにGoogleアカウントを使っているなら

使い回しが危険な理由: クレデンシャルスタッフィング攻撃

「クレデンシャルスタッフィング」とは、どこかで流出したID・パスワードの組み合わせを他のサービスに自動で試す攻撃手法です。あなたのパスワードが1サービスで漏洩すると、同じパスワードを使っている全サービスが危険にさらされます。2024年時点で流出済みパスワードデータベースには100億件以上が含まれると報告されています。

Have I Been Pwned で確認: haveibeenpwned.com にメールアドレスを入力すると、過去の流出インシデントに含まれているかどうかを無料で確認できます。パスワード単体チェックは 強度チェッカー もご利用ください。

よくある質問(FAQ)

パスワードは何文字必要ですか?
NIST SP 800-63B(最新ガイドライン)では最低8文字を推奨していますが、現在の攻撃技術を考えると一般サービスで12文字以上、銀行・業務系で16文字以上が安全圏です。エントロピーで言えば60bits以上が実用レベル、80bits以上が非常に強力です。本ツールのデフォルト設定(16文字・英大小+数字+記号)は現実的な強度として十分です。
エントロピー(bits)とは何ですか?
エントロピーは「パスワードの情報量・予測困難さ」を示す指標で、log2(文字種数) × 文字数で計算されます。例えば94種類の文字から16文字のパスワードを作ると log2(94)×16 ≈ 104bits になります。50bits未満は脆弱、60bits以上は実用レベル、80bits以上で非常に強力、100bits以上で事実上解読不可とされています。
パスフレーズとランダムパスワードはどちらが強い?
パスフレーズ(無関係な単語を4〜5個つなげた長いパスワード)と従来のランダムパスワードでは、同じエントロピーの場合は同等の強度です。パスフレーズの利点は「覚えやすい」こと。例えば「犬-月-青空-走れ-23」(14文字)は、一見複雑な「aB3#kL9!」(8文字)より数百万倍強力です。ただし辞書攻撃対策として、完全にランダムな無関係な単語の組み合わせが重要です。
オフライン生成は本当に安全ですか?
本ツールはすべての処理をブラウザ内で完結させています。ページ読み込み後はオフライン状態にしても動作します。生成したパスワードはサーバーに送信されず、ローカルストレージにも保存されません。乱数生成に使用するWeb Crypto API(crypto.getRandomValues)はブラウザが提供する暗号学的に安全な擬似乱数生成器(CSPRNG)で、Math.random()の数千倍以上の予測困難性があります。
生成後、どこに保存すればいいですか?
最も推奨されるのはパスワードマネージャー(Bitwarden・1Password・Google パスワードマネージャーなど)への保存です。ブラウザの保存機能も手軽ですが、デバイス紛失時のリスクがあります。テキストファイルやメモ帳への平文保存・メール下書き保存はセキュリティリスクがあるため避けてください。
毎月パスワードを変更すべきですか?
NIST SP 800-63B(2017年改訂)の最新ガイドラインでは「定期的な強制変更は推奨しない」と明記されています。変更を強制すると「Password1!→Password2!→…」のような予測可能なパターンになりやすいためです。変更すべきタイミングは「サービスから漏洩通知が来たとき」「不審なログインを検知したとき」のみです。
記号は必須ですか?
記号を加えると組み合わせ数が増えますが、NISTの最新ガイドラインでは「記号を強制することで覚えられないパスワードを作り、使い回しを招く」として記号の強制要求を非推奨としています。記号が使えないサービスでも、文字数を16〜20文字以上にすれば十分な安全性を確保できます。
二段階認証(2FA)があればパスワードは何でもいい?
いいえ。2FAはパスワードが漏洩した場合の追加防御線ですが、パスワード自体が弱いと様々なリスクがあります。セッションハイジャック・フィッシングサイトでの2FAバイパス・2FAを設定していないデバイスからのアクセス等が考えられます。「強力なパスワード + 2FA」の組み合わせが最も安全です。
英数字のみ(記号なし)のパスワードを作れますか?
はい。文字種チェックボックスで「記号」のチェックを外すと、英大文字・小文字・数字のみのパスワードを生成できます。記号が使えないサービス(一部の金融機関等)でも文字数を増やすことで十分な強度を確保できます。英数字62種類×16文字でエントロピーは約95bitsになります。
桁数指定のランダムパスワードを作れますか?
はい。スライダーで4〜128文字まで細かく桁数指定できます。「短(8文字)」「中(16文字)」「長(24文字)」「最強(32文字)」のプリセットボタンも利用できます。カスタム文字列欄に使用したい文字のみを入力すると、その文字種のみから指定桁数のパスワードを生成することも可能です。

参考文献・技術仕様の根拠

本ツールのパスワード強度評価・推奨ポリシーは、以下の公的機関・技術仕様に基づいています。

セキュリティをもっと学ぶための書籍

PR

※ Amazon.co.jp のアソシエイトとしてサイト運営者は適格販売により収入を得ています。 書籍リンクはアフィリエイトリンクです。