安全なパスワードの作り方【2026年版】強くて破られにくいパスワードの3つの条件

Tips
「安全なパスワードってどうやって作ればいいんですか?文字数は?数字と記号を混ぜれば大丈夫?」

パスワードの作り方については、セキュリティの専門家の間でほぼ共通した答えが存在します。

  • 12文字以上
  • 英大文字・小文字・数字・記号を組み合わせる
  • サービスごとに別々のパスワードを使う

上記の3条件がパスワードによって保護されたセキュリティを突破されないために重要な要素であるとされています。

ただ、この答えを聞いてすぐに別の疑問が浮かんできませんか。私も最初まったく同じことを思いました。

「条件は分かった。確かに理想的にはその条件に合致するが良いことは分かったけど、50個のサービス全部に別々のパスワードを作って、しかも全部覚えるなんて、現実的に無理じゃないですか…?」

その通りです。手動で覚えることは不可能です。だからこそパスワードマネージャーが存在するのですが、まずはパスワードの「作り方」の正解を理解しておくことが、そのサービスを正しく使う上でも重要です。

この記事では、強いパスワードの条件・手動作成法・そして「全部覚えるのは無理な問題」をどう解決するかを順番に解説します。

この記事でわかること

  • セキュリティ専門家が推奨するパスワードの3つの条件
  • 今すぐやめるべきパスワードの作り方と実際の被害例
  • 覚えやすくて強いパスワードを手動で作る3つの方法
  • 「50サービス全部に固有パスワード」問題の現実的な解決策

安全なパスワードの3つの条件

まず前提として、「安全なパスワード」の定義を整理しておきましょう。現在のセキュリティ標準(NIST SP800-63Bなど)に基づいた条件は以下の3つです。

①文字数:最低12文字、理想は16文字以上

文字数が長いほど、総当たり攻撃(ブルートフォース攻撃)に対して格段に強くなります。8文字のパスワードは現代のコンピューターなら数時間〜数日で解読できる可能性がありますが、16文字以上になると解読に数百年かかると言われています。

かつては「8文字以上」が一般的な基準でしたが、コンピューターの処理速度向上に伴い、現在は「12文字以上」が最低基準、「16文字以上」が理想とされています。

NIST(米国国立標準技術研究所)は2017年以降、「定期的なパスワード変更よりも長いパスワードを設定する方が重要」という方針に転換しています。「3ヶ月ごとに変更」というルールは現在では推奨されていません。
むしろ定期的なパスワード変更を行うと、逆に簡単に推測されやすいパスワードを設定しがちになるという課題があります。

②複雑さ:英大文字・小文字・数字・記号を組み合わせる

パスワードに使える文字の種類が多いほど、推測・解読が難しくなります。英字(大文字26種+小文字26種)+数字(10種)+記号(約30種)すべてを使った12文字のパスワードの組み合わせ数は、天文学的な数字になります。

ただし最近の研究では、「複雑な記号を1文字入れる」よりも「文字数を2〜3文字増やす」方が安全性向上に効果的という知見も出ています。文字数と複雑さを両立させるのが理想です。

③固有性:サービスごとに必ず異なるパスワード

これが最も重要で、最も見落とされがちな条件です。

どれだけ強いパスワードを作っても、同じパスワードを複数のサービスで使い回していれば、1箇所で漏洩した瞬間にすべてのアカウントが危険にさらされます。これを「クレデンシャルスタッフィング攻撃」といい、漏洩したIDとパスワードのリストを使って他サービスへの不正ログインを試みる手法です。

実際に、あるSNSの大規模漏洩のあと、同じパスワードを使っていたネットバンキングや通販サイトへの不正ログイン被害が急増した事例が日本でも報告されています。漏洩自体より「使い回し」が被害を拡大させます。
最近は、サイバー攻撃がこれでも勝手ぐらい盛んに行われているため、1年に1回ぐらいは何らかの利用しているサービスからパスワード情報が漏洩すると考えておくと良いでしょう。そういったことが起きても大事に至らないようなパスワードを各種サービスに設定することが重要です。

今すぐやめるべきパスワードの作り方

強いパスワードの条件を理解した上で、「やってはいけない例」も確認しておきましょう。

  • 連番・キーボード配列:「123456」「qwerty」「password」など。毎年「最も使われているパスワード」ランキングの上位に入り続けています
  • 個人情報を含む:誕生日(「19850315」)、名前(「taro1234」)、電話番号など。ソーシャルエンジニアリングで推測されやすい
  • 辞書単語をそのまま使う:「sunshine」「dragon」「baseball」などは辞書攻撃(Dictionary Attack)で瞬時に解析される
  • 8文字以下の短いパスワード:文字種を工夫しても、短すぎると総当たりで破られる
2022年のLastPass大規模漏洩では、マスターパスワードが弱かったユーザーのアカウントデータが実際に解読される被害が生じました。「自分のパスワードは大丈夫」という過信は禁物です。

覚えやすくて強いパスワードの手動作成法

すべてをパスワードマネージャーに任せる前に、特に重要なサービス(パスワードマネージャー自体のマスターパスワード等)は自分で記憶できる強いパスワードを作る必要があります。手動で覚えやすく強いパスワードを作る方法を3つ紹介します。

基本的には全てのパスワードをすべて自分で覚えることは不可能です。あくまでもどうしても記憶しておく必要があるパスワードマネージャーのマスターパスワードだけは記憶しておいて、そのほかのパスワードは全てパスワードマネージャーによる管理に任せることを当サイトとしては推奨しています。

①パスフレーズ法(複数の無関係な単語を組み合わせる)

無関係な複数の単語を繋げる方法です。「ramentosushipizza」のように、日常の単語をローマ字で繋げるだけでも文字数が確保でき、そこに数字と記号を加えると非常に強くなります。

例:「RamenToSushi2026!」(18文字、大小英字+数字+記号)

この例の「ラーメンとお寿司2026年!」という文章を頭の中でイメージすれば覚えやすく、かつ推測されにくい高強度なパスワードになります。

②頭文字法(好きな文章の頭文字を取る)

覚えやすい文章を作り、各単語の頭文字だけを取り出す方法です。

例:「私は毎朝7時に東京駅からコーヒーを飲む」→「WmA7jTEkC@」

元の文章を覚えていれば文字列を再現できますが、文字列そのものは推測不可能です。

③置換法(文字を記号・数字に置換する)

単語の一部の文字を視覚的に似た記号や数字に置き換える方法です。

例:「password」→「P@55w0rd」(aを@に、sを5に、oを0に置換)

ただし置換法は、近年の攻撃ツールが「よくある置換パターン」を学習しているため、単純な置換は想定内です。置換に加えて文字数を増やすことが重要です。
マスターパスワード(パスワードマネージャー自体のパスワード)だけは、上記の方法で自分が確実に覚えられるものを設定してください。このパスワードはパスワードマネージャーに保存できないため、唯一「記憶」に頼るパスワードになります。

現実的な問題:50サービスすべてに固有パスワードは手動では無理

ここまでの内容を踏まえると、一つの問題に行き着きます。

「条件を満たした12〜16文字の複雑なパスワードを、利用しているすべてのサービスに別々に作って、全部覚える」ということは人間には不可能です。一般的な人が利用するオンラインサービスの数は、メール・SNS・通販・銀行・サブスクリプション等を合計すると、50〜100サービスに及ぶと言われています。

これを解決するのがパスワードマネージャーです。パスワードマネージャーは、サービスごとに完全ランダムで強力なパスワードを自動生成し、マスターパスワード1つで管理します。ユーザーは個別のパスワードを覚える必要がなく、各サービスには「人間には覚えられない強力なパスワード」を使い続けられます。

パスワードマネージャーとは何か、どう選べばよいかは別記事「パスワードマネージャーとは?仕組みと必要な理由」で詳しく解説しています。

NordPassのパスワード生成機能の使い方

パスワードマネージャーの代表例としてNordPassの「パスワード生成」機能を紹介します。

NordPassのパスワードジェネレーターでは以下の設定が可能です。

  • 文字数:8〜60文字(デフォルト20文字)
  • 文字種:英大文字・英小文字・数字・記号をオン/オフで選択
  • 発音しやすさ:人間が読みやすい(でも安全な)パスワードを生成するオプション

使い方は簡単です。サービスに新規登録またはパスワード変更をする際、NordPassのブラウザ拡張機能が自動でパスワード入力欄を検知し、強力なパスワードを提案します。「生成したパスワードを使用する」をクリックするだけで、そのパスワードはNordPassのVault(暗号化済みの保管庫)に自動保存されます。次回のログイン時には自動入力されるため、ユーザーはパスワードを一切覚えずに済みます。

安全性の仕組みについては「パスワードマネージャーは本当に安全か?」の記事で詳しく解説しています。

よくある質問

最後に、強固なパスワードの生成に関連してよくある質問を以下にまとめておきます。

Q. 定期的にパスワードを変更すべきですか?

A. 理由なく定期変更することは、現在のセキュリティ専門家の多くが推奨していません。NISTの最新ガイドラインでも「定期変更よりも強力なパスワードの維持」を推奨しています。ただし、利用しているサービスで漏洩が確認されたとき、不審なログインが検知されたときは即座に変更すべきです。

Q. パスワードに使う記号はどれがおすすめですか?

A. サービスによって使用できる記号が異なります(一部のサービスは一部の記号を使えない)。汎用性が高いのは「!」「@」「#」「$」「%」です。ただし「パスワード」という単語の「a」を「@」に変えるような単純な置換は避け、予測不能な位置に記号を入れることが重要です。

Q. パスワードマネージャーのマスターパスワードを忘れたらどうなりますか?

A. ゼロ知識設計のパスワードマネージャーでは、マスターパスワードをサービス側も知りません。NordPassには緊急アクセス機能があり、信頼できる人に事前設定しておくことで万が一のリカバリーが可能です。

1Passwordには「Emergency Kit(緊急キット)」という回復用の紙があります。どちらも事前設定が必要なので、アカウント作成時に必ず設定しておきましょう。

Q. パスワードジェネレーターで作ったパスワードは本当にランダムですか?

A. NordPassや1Passwordなどの主要なパスワードマネージャーのジェネレーターは、暗号論的に安全な乱数生成器(CSPRNG)を使用しており、予測不可能なランダムパスワードを生成します。人間が「適当に打った」文字列よりもはるかにランダム性が高いです。

Q. 覚えやすいパスワードと強いパスワードは両立できますか?

A. マスターパスワードのような「記憶が必要なパスワード」については、パスフレーズ法が最も現実的な解決策です。「4つの無関係な単語を繋げた20文字のパスフレーズ」は、10文字の複雑な文字列より覚えやすく、かつ解読も格段に難しくなります。

その他のサービスのパスワードはパスワードマネージャーに任せ、自分が記憶するパスワードはマスターパスワードだけにするのが最も安全です。

Q. パスワードの使い回しをすると具体的にどんな被害が起きますか?

A. 最も多い被害は「クレデンシャルスタッフィング攻撃」です。どこかのサービスで漏洩したIDとパスワードを使って、同じ組み合わせを試みる自動攻撃です。

ECサイトの不正注文、SNSアカウントの乗っ取り、ポイントの不正利用などが典型的な被害です。パスワードの使い回しは、1つの漏洩事故をすべてのアカウントへの攻撃口に変えてしまいます。詳しくは「パスワード管理アプリは危険?安全性を徹底解説」もご参照ください。

まとめ

安全なパスワードの条件は「12文字以上・複雑な文字種・サービスごとに固有」の3つ。しかしすべてのサービスに手動で覚えられる固有パスワードを設定するのは現実的に不可能です。

あなたの状況 推奨 理由
まずパスワード管理を改善したい NordPass無料プランを試す クレカ不要・すぐ始められる・自動生成機能あり
複数デバイスで同期したい NordPass有料プラン 全デバイス同期・Data Breach Scanner・緊急アクセス
無料で複数デバイス同期したい Bitwarden無料プラン オープンソース・無料で複数デバイス対応
マスターパスワードだけ手動で作りたい パスフレーズ法 「無関係な単語4つを繋げた20文字」が最もバランスよい

パスワードマネージャーについてもっと詳しく知りたい方は、「パスワード管理ってどうしてる?」の記事もあわせてご覧ください。

まずは無料でNordPassを始める

クレジットカード不要。1デバイス・パスワード保存数無制限で今すぐ使い始められます。

NordPassを無料でダウンロード →

コメント

タイトルとURLをコピーしました