ツールナビ
パスワード 登録不要 無料 ブラウザ完結

パスワード強度チェッカー(無料・漏洩チェック付き)

パスワードの強度をリアルタイム判定。5段階評価・エントロピーbits・推定クラック時間(オンライン/オフライン)・問題点指摘・改善提案・Have I Been Pwnedによる漏洩チェック(k-anonymity方式)・入力履歴の重複警告に対応。完全無料・登録不要・ブラウザ完結。

最終更新:2026年5月18日

プライバシー保護 — 入力したパスワードはサーバーに送信されません。漏洩チェックはk-anonymity方式(SHA-1先頭5文字のみ送信)。

入力履歴(最大10件・LocalStorage)

履歴はありません

Have I Been Pwned(漏洩チェック)の仕組み

k-anonymity方式でプライバシーを保護

本ツールのパスワード漏洩チェックは、Have I Been Pwned(HIBP)API を k-anonymity 方式で使用します。これにより、パスワード全体をサーバーに送信することなく漏洩チェックが可能です。

1
SHA-1ハッシュ計算(ブラウザ内)

入力されたパスワードをブラウザ内でSHA-1ハッシュ化します(例: 5BAA61E4C9B93F3F0682250B6CF8331B7EE68FD8)。

2
先頭5文字のみ送信

ハッシュの先頭5文字(例: 5BAA6)のみをHIBP APIに送信します。パスワード本体もハッシュ全体も送信しません。

3
候補リストから照合(ブラウザ内)

APIは先頭5文字に一致する数百件のハッシュ候補を返します。ブラウザ内で残りのハッシュを照合し、一致があれば漏洩済みと判定します。

セキュリティ保証: パスワード全体もハッシュ全体も外部に送信されません。Have I Been Pwned は Troy Hunt 氏が運営する信頼性の高いセキュリティサービスで、多くのパスワードマネージャーでも採用されています。

強度スコアの判定基準

本ツールの強度スコアは以下の基準で判定されます。

危険
エントロピー 35bits未満

辞書単語1語・数字のみ・4〜6文字などのパスワード。オンライン攻撃でも数分〜数時間で突破される危険性があります。今すぐ変更してください。

弱い
エントロピー 35〜50bits

8文字英小文字のみなど。GPUを使ったオフライン攻撃では数時間〜数日で突破されます。重要なサービスには使用しないでください。

普通
エントロピー 50〜65bits

8文字英大小+数字+記号など。一般的なオフライン攻撃では数ヶ月〜数年かかります。重要なサービスでは強化推奨。

強い
エントロピー 65〜80bits

12文字以上・英大小+数字+記号など。現実的な攻撃に対して十分な強度です。一般的なWebサービスに推奨されるレベルです。

最強
エントロピー 80bits以上

16文字以上・英大小+数字+記号など。現在の技術では事実上解読不可です。銀行・業務システム・クラウド管理等の重要サービスに推奨します。

やりがちなパスワードの弱点

辞書単語・人名・地名

「password」「dragon」「tokyo」など辞書に載っている単語や一般的な名前は、辞書攻撃で即座に突破されます。本ツールでは一般的な辞書語を検出し警告します。

悪い例: tokyo2024改善例: t0Ky0!2024#mZ

連続した文字・キーボードパターン

「123456」「qwerty」「abcdef」などの連続パターンは最も一般的な弱いパスワードです。10億件のデータベースに必ず含まれています。

悪い例: qwerty123改善例: K9#mLq2@pN8!

個人情報の埋め込み

誕生日・電話番号・名前などの個人情報はソーシャルエンジニアリングで推測されやすく、ターゲット型攻撃に対して特に脆弱です。

悪い例: tanaka1990改善例: 犬-月-青空-走れ-23(パスフレーズ)

記号の置き換えパターン

「a→@」「e→3」「i→!」などの単純な置き換えは攻撃者も知っています。「p@ssw0rd」は「password」よりわずかに強い程度です。

悪い例: p@ssw0rd改善例: pX7!qR9#mW2@

安全なパスワードを作るコツ

NIST SP 800-63B 準拠のベストプラクティス

📏

長さを最優先に

文字数を1文字増やすだけでエントロピーが大幅に増加します。最低12文字、重要サービスは16文字以上を目標にしましょう。

🎲

完全にランダムに

予測可能なパターンを使わず、完全にランダムな文字列を使いましょう。パスワード生成ツールで暗号学的に安全なパスワードを作成できます。

📝

パスワードマネージャーで管理

Bitwarden(無料)・1Password(有料)などのパスワードマネージャーを使えば、覚えられないほど強力なパスワードを安全に管理できます。

🔑

サービスごとに別々に

同じパスワードを複数のサービスに使い回すと、1つのサービスで漏洩した際に全てのアカウントが危険にさらされます。

📱

二段階認証を必ず設定

パスワードが強力でも、二段階認証(2FA)と組み合わせることで安全性が飛躍的に向上します。特に重要なサービスでは必ず設定しましょう。

🔄

定期変更より漏洩検知

NIST SP 800-63Bでは定期的な強制変更は非推奨。漏洩通知(Have I Been Pwned・各サービスのアラート)があった時だけ変更するのが正しい対応です。

よくある質問(FAQ)

このツールにパスワードを入力しても安全ですか?
安全です。本ツールはすべての処理をブラウザ内で完結させており、入力されたパスワードはサーバーに送信されません。強度計算・エントロピー計算・辞書チェックは全てブラウザ内のJavaScriptで実行されます。漏洩チェック(HIBP連携)は k-anonymity 方式を採用しており、パスワードのSHA-1ハッシュの先頭5文字のみをAPIに送信します。パスワード本体もハッシュ全体も外部に送信されません。
k-anonymity方式とは何ですか?
k-anonymity(k-匿名性)方式は、プライバシーを保護しながらデータベースと照合する技術です。本ツールでは、パスワードのSHA-1ハッシュ(40文字)の先頭5文字のみをHave I Been Pwned APIに送信します。APIは先頭5文字が一致するハッシュ候補(数百件)を返し、残りのハッシュの照合はブラウザ内で行います。これによりパスワード全体が特定されることなく漏洩チェックが可能です。
エントロピーが高いパスワードは絶対に安全ですか?
エントロピーはパスワードの数学的な強度を表しますが、それだけが全てではありません。100bits以上のエントロピーがあっても、(1)フィッシング詐欺でパスワードを直接騙し取られる、(2)キーロガーで入力を盗まれる、(3)パスワードを平文保存しているサービスから漏洩する、(4)デバイスが物理的に盗まれる、といったリスクは防げません。エントロピー + 二段階認証 + パスワードマネージャーの組み合わせが最善策です。
「漏洩済み」と表示されたらどうすればいいですか?
漏洩済みと判定されたパスワードを使っているサービスで、すぐにパスワードを変更してください。同じパスワードを複数サービスで使い回している場合は全てのサービスで変更が必要です。新しいパスワードはパスワード生成ツールで作成することをお勧めします。また、漏洩したサービスで不審なアクティビティがないか確認し、必要に応じてサポートに連絡してください。
「漏洩チェック中」が長時間続く場合はどうすればいいですか?
Have I Been Pwned APIへのアクセスに失敗している可能性があります。(1)インターネット接続を確認する、(2)VPNを使用している場合はオフにしてみる、(3)しばらく待ってから再度試す、をお試しください。APIが利用できない場合でも、パスワードの強度スコア・エントロピー・改善提案は通常通り利用できます。
パスワードの強度スコアはどう計算されていますか?
本ツールはエントロピー(情報量・bits)をベースに強度を計算します。エントロピー = log2(文字種数) × 文字数 で算出され、35bits未満: 危険、35〜50bits: 弱い、50〜65bits: 普通、65〜80bits: 強い、80bits以上: 最強と判定します。さらに辞書語・連続文字・繰り返しパターンを検出してスコアを調整します。zxcvbnライブラリ相当の判定精度を自前実装しています。
クラック時間はどう計算されていますか?
クラック時間はエントロピーから算出した「総試行回数」÷「1秒あたりの試行回数」で計算します。オンライン攻撃(毎秒100回:ログイン試行制限を考慮)とオフライン攻撃(毎秒10億回:盗んだデータベースに対するGPUクラスタ攻撃)の2パターンを表示します。あくまで理論値であり、実際の攻撃時間は攻撃者の持つリソースや手法によって大きく異なります。
パスワードを変更した後、履歴から削除できますか?
はい。「履歴をクリア」ボタンをクリックすると、ブラウザのLocalStorageに保存された入力履歴を全て削除できます。個別の履歴だけを削除したい場合は、各履歴アイテムの削除ボタンを使ってください。なお、履歴データはご利用のブラウザのみに保存されており、サーバーには送信されていません。
パスワードの使い回しはどの程度のリスクがありますか?
非常に高いリスクがあります。「クレデンシャルスタッフィング」と呼ばれる攻撃手法では、どこかで流出したID・パスワードの組み合わせを他のサービスに自動で試します。2024年時点で流出済みパスワードデータベースには100億件以上が含まれると報告されており、使い回しているパスワードが流出データに含まれている可能性は相当高いです。Bitwardenなどのパスワードマネージャーで各サービスに異なるパスワードを設定することを強く推奨します。
パスワードの強度が「最強」なら二段階認証は不要ですか?
いいえ、二段階認証は必須です。強力なパスワードでも防げないリスクがあります:(1)フィッシング詐欺でパスワードを直接騙し取られる、(2)サービス側のデータベースが平文保存されており漏洩する、(3)デバイスに入ったマルウェアでパスワードが盗まれる。二段階認証はこれらのリスクに対する追加の防衛線となります。Google Authenticator・Authy・Passkey等の認証アプリをぜひ活用してください。

参考文献・技術仕様の根拠

本ツールのパスワード強度評価基準は、以下の公的ガイドラインに準拠しています。

  • NIST SP 800-63B: Digital Identity Guidelines - Authentication and Lifecycle Management 米国国立標準技術研究所(NIST)が定めるパスワード推奨ポリシー。最低8文字・複雑度強制の廃止・侵害済みパスワードリストとの照合を推奨。
    https://pages.nist.gov/800-63-3/sp800-63b.html (参照: 2026-05-20)
  • OWASP Password Storage Cheat Sheet パスワードの安全な保存・強度要件に関するOWASPベストプラクティス。bcrypt・Argon2等のアルゴリズム選定基準も記載。
    https://cheatsheetseries.owasp.org/cheatsheets/Password_Storage_Cheat_Sheet.html (参照: 2026-05-20)
  • Have I Been Pwned 約130億件以上の漏洩パスワードデータベース。NIST SP 800-63Bが推奨する「侵害済みパスワード照合」の参考データソース。
    https://haveibeenpwned.com/Passwords (参照: 2026-05-20)