パスワード強度チェッカー

強力なパスワードとは、少なくとも12文字以上で、大文字、小文字、数字、特殊文字を組み合わせたものです。辞書的な単語、個人情報、よくあるパターンなどは使わないようにしましょう。

パスワードはローカルで処理され、保存されません。ただし、最大限のセキュリティを確保するため、オンライン上の任意の場所に実際のパスワードを入力するのではなく、パスワードマネージャを使用してパスワードを生成および確認することをお勧めします。

クラック・タイムは、攻撃者がブルート・フォース（総当たり）方式でパスワードを推測するのにかかる時間を推定する。これは、攻撃者が最新のハードウェアを使って1秒間に数十億回の推測を行えることを想定している。実際の攻撃はもっと速いかもしれないし、遅いかもしれない。

そう、パスワード・マネージャーを強くお勧めする。アカウントごとに本当にランダムでユニークなパスワードを生成し、安全に保存してくれます。これは、パスワードを再利用したり、単純なパターンを使用するよりも安全です。

強度計算は、エントロピー（ランダム性）と一般的なパスワードパターンに基づいて安全性を推定します。長さ、文字の種類、辞書的な単語、一般的な置換、連続パターンなどをチェックする。目安としては有用ですが、実際のセキュリティは、ターゲットとなるシステムのセキュリティ対策や攻撃方法にも依存します。

個人情報（名前、誕生日）、辞書的な単語、一般的な置き換え（P@ssw0rd）、キーボードパターン（qwerty）、連番（12345）、アカウント間でのパスワードの再利用、12文字より短いパスワードの使用は避けてください。また、「password123」や「admin」のような一般的なパスワードも避けましょう。

一般的なアカウントでは最低12文字、機密性の高いアカウント（Eメール、銀行、仕事）では16文字以上。パスワードが長ければ長いほど、クラックは指数関数的に難しくなる。文字が混在する16文字のパスワードは、現在の技術では解読に数十億年かかるが、8文字のパスワードなら数時間で解読できる。

そう、パスフレーズ（4～6個のランダムな単語）は、複雑なパスワードよりも強力で覚えやすいことが多い。P@ssw0rd1」よりも「correct horse battery staple」の方が強く、記憶に残りやすい。単語は、一般的なフレーズや歌の歌詞ではなく、ランダムで無関係なものにしましょう。

最新のセキュリティガイダンスでは、パスワードは漏洩したときのみ変更することを推奨しており、スケジュール通りに変更することは推奨していない。定期的に強制的に変更すると、パスワードが弱くなったり、ちょっとしたバリエーションになったりすることがよくあります。その代わりに、アカウントごとに固有の強力なパスワードを使用し、2要素認証を有効にし、侵害が発生したら直ちにパスワードを変更する。