強力なパスワードとトークンの生成
ブラウザで動く強力なパスワード生成器。Web Cryptoでパスワード、パスフレーズ、16進トークンを作り、秘密をサーバーに送りません。
覚えやすいパスワードは、たいてい誰かに推測できるパスワードです。そして複数のサイトで使い回すパスワードは、情報漏えいを招く原因になります。解決策は、生成器に長くてランダムな秘密を作らせ、パスワードマネージャーに預けて覚える手間をなくすことです。パスワード・トークン生成は、Web Cryptoでパスワード、パスフレーズ、16進トークンをローカルに作ります。値はあなたの端末で生まれ、サーバーを一切経由しません。
概要
強力でランダムな秘密を、どのウェブサイトにも預けることなく作れます。
- 1つのツールで3つのモード — パスワード、覚えやすいパスフレーズ、APIキー用の16進トークン。
- 何もアップロードされない — 生成はすべてWeb Crypto APIによりブラウザ内で完結します。
- 強度が見える — 各値にはエントロピーに基づく強度(弱い/良い/強い)が表示されます。
パスワードが強くなる理由
強度は、長さと予測しにくさという二つの要素が組み合わさって生まれます。そのうち記号を散りばめるよりも、長さの方がはるかに重要です。
- 長さが支配的な要因 — 文字が一つ増えるごとに、攻撃者が探索しなければならない組み合わせが掛け算で増えます。16文字のランダムパスワードは、工夫した8文字のものより天文学的に破りにくいです。NISTのガイダンスはより長い秘密を推奨し、重要なアカウントでは15文字以上がひとつの目安になります。
- ランダムさが人間の選択に勝る — 人は予測しやすい場所に「数字と記号を一つずつ」足しがち(
Password1!)で、攻撃者はそれを知っています。真のランダム(各文字を独立に選ぶ)こそが、値を当てにくくします。 - エントロピーがそれを測る — ビット単位のエントロピーは、おおよそ
log2(文字セットの大きさ) × 長さです。ツールが計算して、弱い/良い/強いに割り当てます。文字数と文字セットが大きいほどエントロピーは上がります。
実用的なルールは、長く、ランダムに、サイトごとに一意にし、覚える役割はマネージャーに任せることです。
パスワードとパスフレーズとトークンの違い
生成器は3つのモードを備え、それぞれに適した用途があります。
- パスワード — ランダムな文字の並び(小文字、大文字、数字、記号)。機械に預ける用途に最適です。長くて密なものが強く、欠点は打てないことですが、貼り付けるので問題ありません。
- パスフレーズ — 区切りで結んだ複数のランダムな単語(既定は
-、例:canyon-ember-river-quartz)。4語以上のランダムな単語は、記憶しやすくかつ強力です。単語リストが大きく、1語ごとに無視できないエントロピーが加わるからです。マスターパスワードや、自分で打って覚えておく必要があるものに最適です。 - トークン — 小文字の16進文字列(
0-9とa-f)。トークンは機械同士の秘密、すなわちAPIキー、クライアントシークレット、セッションID向けです。人が打つことは想定されておらず、設定ファイルへコピーして使います。
日常のアカウントにはパスワード、頭に保持したいものにはパスフレーズ、プログラム用の資格情報にはトークンを選んでください。
手順:秘密を生成する
パスワード・トークン生成を開き、次の流れで進めます。
- モードを選ぶ — 上部で パスワード、トークン、パスフレーズ のいずれかを選びます。下部のコントロールがそれに合わせて変わります。
- 形を決める
- パスワード モードでは 長さ スライダー(4〜128、既定16)を動かし、文字セット — 小文字、大文字、数字、記号、紛らわしい文字を除外(
0/Oや1/lのような紛らわしい文字を外します)— を切り替えます。 - トークン モードでは 長さ(4〜128、既定32)を決めます。トークンは常に小文字の16進で、文字セットや書式の選択肢はありません。
- パスフレーズ モードでは 単語数(3〜12、既定4)と 区切り(最大4文字、既定
-)を決めます。
- パスワード モードでは 長さ スライダー(4〜128、既定16)を動かし、文字セット — 小文字、大文字、数字、記号、紛らわしい文字を除外(
- 一度に複数欲しければ 件数(1〜50)を決めます。
- 生成 を押します。結果がリストで表示されます。各値にはエントロピーに基づく強度 — 弱い、良い、強い — が示されます。
- 必要なものをコピー — 行ごとの コピー で1件、再生成 でその行だけ描き直し、すべてコピー で全件、クリア でやり直せます。
ブラウザにWeb Cryptoがない場合(まれですが、安全でないコンテキストで起こりえます)は、弱い乱数へ切り替えず、警告とともに生成を無効化します。
ローカル生成が重要な理由
「オンライン」でパスワードを生成するとは、通常、サイトのサーバーがそれを作って返すことを意味します。つまりサーバーは値を見ています。誠実なサイトでもリクエストを記録しますし、侵害されたり悪意あるサイトは、生成した値をすべて記録できます。どこかのログにあるその写しは、強力なパスワードの意味を台無しにします。
Web Crypto API(crypto.getRandomValues)はこれを逆転させます。乱数はブラウザ内で生まれ、完成した値は直接クリップボードへ届きます。秘密を運ぶリクエストも、それを見るサーバーも、漏えいするログもありません。アカウントを預ける相手には、まさにその性質が求められます。
制限と正直な注意点
ツールが想定通りであるために、知っておくべき制約をいくつか挙げます。
- トークンモードは16進専用 — トークンは常に小文字の16進(
0123456789abcdef)です。大文字や波括弧、ハイフン区切りの切り替えはありません。別の書式が必要なら、コピー後に16進を変換してください。 - パスフレーズの単語は固定リスト — 24語のリストは意図的に短く(覚えやすい語)、パスフレーズのエントロピーは主に 語数 から生まれ、巨大な語彙からではありません。機密には4語以上を使ってください。
- 範囲には上限があります — 件数は1回あたり最大50、パスワード・トークンの長さは4〜128です。現実の用途を網羅しており、秘密の一括生成パイプラインではありません。
よくある質問
オンラインでパスワードを生成するのは安全ですか?
それは、生成が どこで 行われるかに完全に依存します。サーバーがパスワードを作って返すなら、そのサーバーはあなたの秘密を見ており、記録も漏えいもしないと信じることになります。このツールはWeb Cryptoでブラウザ内のローカルに生成するため、値はあなたの端末で生まれ、送信されません。資格情報には、ローカル生成が安全な既定値です。
パスフレーズとパスワード、どちらを使うべきですか?
自分で覚えて打ち込む必要があるときは パスフレーズ を使ってください — マスターパスワード、ディスク暗号化のパスフレーズ、デバイスのログインなどです。4語以上のランダムな単語は記憶しやすく強力です。マネージャーが預けてくれて貼り付けるだけなら パスワード(文字密度の高いランダム文字)を使ってください。1文字あたりのエントロピーは最大になりますが、暗記は不可能です。
トークンとパスワードの違いは?
ここの トークン は、機械向けの小文字16進文字列です — APIキー、クライアントシークレット、設定ファイルへ貼るセッションIDなどです。パスワード は、(本来は)人が認証するための、文字種の混在した文字列です。トークンが均一な16進なのは、打ち込んだり覚えたりする必要がなく、コピーするだけだからです。
どのくらい強ければ十分ですか?
重要なアカウントでは 強い の帯域、おおよそエントロピー80ビット超を狙ってください。文字セットを完全に使った16文字のパスワードや、5〜6語のパスフレーズで十分超えられます。重要性の低いログインなら 良い で許容範囲です。気になるものに 弱い は避けてください。多くの場合、値が短すぎるか文字セットが狭すぎることを意味します。

このツールから始める
今すぐ始める