生成したパスワードはサーバーに保存されますか？

いいえ、すべてブラウザ上のWeb Crypto APIで生成されており、外部サーバーへの送信や保存は一切ありません。ページを閉じれば生成済みのパスワードはメモリから消えるため、コピーした後はパスワードマネージャー等への保管を忘れずに行ってください。

何文字にすればいいですか？

用途により目安が変わります。一般的なWebサービスなら12〜16文字、管理者・サーバー用は20文字以上、暗号化ファイルなど長期保管が必要なものは24文字以上を推奨します。「用途から選ぶ」プリセットを使えば、典型的な設定が自動で適用されます。

記号は必須ですか？

サービスが許可しているなら記号を含めるほうがエントロピーが上がり推測されにくくなります。ただし記号非対応や一部記号のみ許可するサービスも多いため、登録時にエラーが出たら制約に合わせて再生成してください。文字数を1〜2文字長くすれば、記号なしでも近い強度を保てます。

「紛らわしい文字を除く」を使うとどうなる？

数字の0と英大文字O、数字の1と英小文字l・英大文字Iなど、視覚的に混同しやすい文字を除外します。手書きで控えたい・音声で読み上げて伝えたい・印刷物に記載するなどの場面で誤入力を防げます。文字種が減るためエントロピーはわずかに下がりますが、実用上の影響はほとんどありません。

パスワードは定期的に変更すべきですか？

最新のセキュリティガイドライン（NIST SP 800-63Bなど）では「定期的な強制変更は推奨されない」とされています。代わりに、十分長く強いパスワードを使う／漏洩疑いがあるとき即座に変える／使い回しを避ける、の3点が現代の基本です。「Have I Been Pwned」などの漏洩チェックサービスで定期的に確認するのが効率的です。

パスワードマネージャーは何を使えばいい？

代表的な選択肢は1Password、Bitwarden、KeePassXC、Apple iCloudキーチェーン、Google Password Managerなどです。Bitwardenは無料プランでも複数デバイス同期に対応しており、個人利用ではコスト効率が高い選択肢。チーム共有が必要なら1Passwordが定番です。マスターパスワードだけは紙に書いて金庫に保管するなど、絶対に失わない管理を徹底してください。

入力したデータはサーバーに送信されますか？

いいえ、すべての処理はブラウザ上で完結します。生成されたパスワード、設定した条件、コピー操作のいずれも外部送信は一切行いません。ローカルで安全に利用してください。

パスワード生成｜安全な強力パスワードを自動作成

パスワード生成ツールの概要・基礎知識

本ツールは、ブラウザ標準のWeb Crypto API（crypto.getRandomValues）を用いて、暗号学的に強い乱数からランダムなパスワードを生成するツールです。文字数（4〜128文字）、英大文字・小文字・数字・記号の有無、紛らわしい文字（0／O、1／l／I など）の除外を自由に設定できます。Webサービス用・管理者アカウント用・PIN用などのプリセットも用意しているため、用途に応じて即座に最適な設定で生成できます。生成されたパスワードはローカルブラウザ内のみで処理され、外部サーバーには送信されません。アカウント乗っ取りや情報漏洩のリスクを下げるために、サービスごとにユニークで強度の高いパスワードを使い分けるのが現代の基本です。

パスワードの強度（エントロピー）

構成	組み合わせ数	解読の難易度（目安）
数字のみ4桁	1万通り	瞬時に突破
数字のみ8桁	1億通り	個人PCで秒〜分
英数字8文字	約218兆通り	数日〜数週間
英数字記号12文字	約10の23乗通り	2025年現在の計算機性能では現実的に十分
英数字記号16文字	約10の30乗通り	スーパーコンピュータでも数百年単位
英数字記号20文字	約10の38乗通り	未来の量子計算機を想定しても余裕がある水準

※ 解読時間はブルートフォース（総当たり攻撃）を前提とした概算で、辞書攻撃や流出リスト照合では桁違いに早く突破される可能性があります。「使い回しを避ける」「辞書語を含めない」が前提条件です。

使い方の流れ

「用途から選ぶ」セクションで、生成したいパスワードのタイプ（Webサービス／管理者用／英数字のみ／PIN）を選びます。プリセットを選ぶと、文字数と文字種が自動的に切り替わります。
必要に応じて「文字数」をスライダーまたは数値入力で調整します（4〜128文字）。一般的なWebサービスなら12〜16文字、管理者用なら20文字以上が推奨されます。
「A-Z」「a-z」「0-9」「!@#」のチェックボックスで、含める文字種を選びます。サービスによっては記号が使えない場合があるので、登録予定のサービスのルールに合わせて調整します。
「紛らわしい文字を除く」をオンにすると、0／O、1／l／I のような視認しにくい文字を除外できます。手書きや音声で伝える可能性がある場合に便利です。
「再生成」ボタンで何度でも作り直し、気に入ったものを「コピー」でクリップボードに転送します。複数個まとめて作りたい場合は下部の「複数個まとめて生成」を使ってください。

こんな場面で使う

新規アカウント作成時：Webサービス・SaaS・社内ツールの新規登録時に、サービスごとに異なる強力なパスワードを即座に生成できます。
定期的なパスワード変更：旧来の定期変更ポリシーは現在では推奨されないものの、漏洩懸念があるサービスを更新する際にすばやく新パスワードを用意できます。
サーバー・データベースの管理者用：rootアカウント、データベースのadmin、CI/CDツールのトークンなど、長く強いパスワードが必要な場面で20文字以上の生成が役立ちます。
暗号化ファイルのパスワード：ZIP・PDF・7zなど、長期保管する暗号化ファイルのパスフレーズに使います。再生成性のない用途なので、生成と同時にパスワードマネージャーへ保存してください。
初期パスワードの一斉発行：「複数個まとめて生成」を使い、新入社員や複数アカウントの初期パスワードを一括で作成。CSVに貼り付けて活用できます。

使う前に知っておきたい注意点

2025年現在の計算機性能では英数記号12文字以上のランダムパスワードはブルートフォース攻撃で現実的に十分な強度を持ちますが、「絶対に破られない」ものではありません。将来の計算機性能向上や量子計算の進展に備え、長めの設定を推奨します。
パスワード使い回しが最大の脆弱性です。1つのサービスから漏洩したパスワードがリスト型攻撃で他サービスにも試される（クレデンシャル・スタッフィング攻撃）ため、サービスごとに必ず別パスワードを使ってください。
生成したパスワードはコピー後、必ず信頼できるパスワードマネージャー（1Password、Bitwarden、KeePassXC等）に保存してください。ブラウザ標準のパスワード保存機能だけでは、複数デバイスでの安全な共有が難しいケースがあります。
記号を含めると強度は上がる一方、サイトによっては「!@#$のうち一部のみ許可」「英数字のみ」などの制約があります。生成後、登録できないことが分かったら制約に合わせて再生成してください。
多要素認証（MFA／2FA）の導入は、パスワード強化と同等以上に重要です。重要アカウント（メール・銀行・SNS）には、強いパスワード＋認証アプリ（Authy、Google Authenticator）またはセキュリティキー（YubiKey）の併用をおすすめします。

用語の補足

エントロピー：パスワードのランダム性を示す指標。ビット単位で表され、80ビット以上が「現実的に十分強い」ラインとされます。英数記号16文字でおよそ100ビット以上に到達します。
ブルートフォース攻撃：可能な組み合わせを片っ端から試す総当たり攻撃。文字数を1文字増やすだけで解読時間が数十倍に伸びます。
クレデンシャル・スタッフィング：他サイトから流出したIDとパスワードの組み合わせを使って、別のサイトへログインを試みる攻撃。同じパスワードの使い回しがあると一気に被害が広がります。

パスワード生成ツール