パスワード強度チェッカー

// パスワード強度チェッカー

パスワードがブラウザの外に出ることはありません。強度分析はすべてお使いのデバイス上で行われます。漏洩チェックは部分的なハッシュのみを送信し、実際のパスワードが送信されることはありません。

ヒント

12文字以上を使用してください

大文字、小文字、数字、記号を組み合わせてください

アカウントごとに固有のパスワードを使用してください

パスワード強度の測定方法

パスワードの強度は、エントロピーのビット数で測定されます。これは、パスワードがどれほど予測困難であるかを数学的に表したものです。この計算式は、文字の種類（小文字、大文字、数字、記号）のプールサイズをパスワードの長さで累乗したものを考慮しています。エントロピーが高いほど、攻撃者が試みなければならない組み合わせの数が増えます。

たとえば、小文字のみ（26文字）を使用したパスワードは、1文字あたり約4.7ビットのエントロピーを持ちます。大文字を加える（合計52文字）と5.7ビットになります。数字と記号（95文字以上）を含めると、1文字あたり約6.6ビットになります。フルの文字セットを使った16文字のパスワードは、100ビットを超えるエントロピーをもたらし、ブルートフォース攻撃では事実上解読不可能です。

Have I Been Pwned チェック

このツールは、k-匿名性を使用して、7億件以上の侵害されたパスワードを収録したHave I Been Pwnedデータベースと照合します。送信されるのはSHA-1ハッシュの最初の5文字のみであり、パスワードの全体がブラウザの外に送信されることはありません。一致が見つかった場合、そのパスワードは既知のデータ侵害に含まれていることを意味し、直ちに変更する必要があります。

よくある質問

パスワードエントロピーとは何ですか？

エントロピーは、パスワードの予測困難性をビット単位で測定します。1ビット増えるごとに、可能な組み合わせの数が2倍になります。60ビットのエントロピーを持つパスワードは、2^60（約100京）通りの組み合わせを持ち、ブルートフォース攻撃を現実的でなくします。

侵害チェックはどのようにプライバシーを保護しますか？

k-匿名性を使用しています。パスワードはローカルでSHA-1ハッシュ化され、ハッシュの最初の5文字のみがAPIに送信されます。サーバーはその5文字で始まるすべてのハッシュを返し、照合はすべてブラウザ内で行われます。

「解読にかかる時間」は正確ですか？

これは、1秒あたり100億回の推測（現代のGPUクラスターの現実的な速度）を前提とした推定値です。実際の解読時間は、攻撃手法、ハードウェア、およびパスワードが一般的なパターンに一致するかどうかによって異なります。

パスワードが侵害データに見つからなかった場合、安全ですか？

必ずしも安全とは言えません。見つからなかったということは、既知の公開された侵害データに含まれていないというだけです。辞書攻撃、パターンマッチング、または標的型の推測に対しては依然として脆弱である可能性があります。常に高いエントロピーを目指してください。