パスワードは「長さ」が正義 ― 8桁の複雑パスワードより16桁パスフレーズが強い理由
「大文字・小文字・数字・記号を必ず混ぜてください」——多くのサービスの登録画面で見かける注意書きです。そのせいで「複雑な記号を詰め込めば安全」と思い込んでいる人は多いはずですが、実はセキュリティの世界で効くのは記号の有無よりも「長さ」です。この記事では、なぜ長さが複雑さに勝るのかを数字で示し、パスワードの使い回しがなぜ危険なのかの仕組み、そして現実的に続けられる管理術を紹介します。
目次
組合せ爆発が起きる場所
パスワードを総当たり(ブルートフォース)で破ろうとする攻撃者は、使われている文字種の数(英小文字なら26、記号まで含めば90前後)を、パスワードの桁数だけ掛け合わせた数の組み合わせを試す必要があります。
ここで重要なのは、文字種の数を増やすのは「掛け算の底」を大きくする効果しかないのに対し、桁数を増やすのは「指数」を大きくする効果を持つという点です。指数関数的に増える数字の方が、底が少し大きくなるより桁違いに効きます。つまり「記号を足して底を90にする」より「桁数を1桁増やして指数を上げる」方が、組み合わせ数は跳ね上がります。
桁数と文字種で解読時間はどう変わるか
実際の試算例を並べてみると、この差がはっきり見えます。
- 8桁・英小文字のみ: 数秒で解読
- 8桁・大文字小文字を含む: 数十分
- 8桁・大文字小文字数字を含む: 1〜2時間
- 8桁・大文字小文字数字記号を含む: 約10時間〜17年(ハッシュ方式や計算環境により幅がある)
- 13桁・大文字小文字数字記号を含む: 約200万年
- 16桁・大文字小文字数字記号を含む: 数万年〜144兆年規模(試算条件により変動)
一方で「16桁・英小文字のみ」のような、記号を一切使わないパスフレーズ型の文字列でも、桁数がある分だけ組み合わせ数は膨大になり、8桁の記号混在パスワードより破るのに時間がかかるという試算結果が複数の検証で示されています。つまり「fluffy-window-battery-garden」のような単語を並べただけの16桁パスフレーズは、覚えやすいうえに「Tr0ub4dor&3」のような8桁の凝った文字列より実質的に強いということです。
2026年時点での目安としては、最低12桁、できれば16桁以上を確保することが推奨されています。8桁はもはや「安全」の基準を満たしません。
(解読時間の具体的な数値は、想定するハッシュ方式・GPU性能・攻撃者の計算資源によって大きく変動します。ここで示した数値はあくまで相対的な傾向を掴むための目安としてご覧ください。)
使い回しが破られる仕組み ― リスト型攻撃
パスワードの強度をどれだけ上げても、同じパスワードを複数サービスで使い回していれば意味が薄れます。ここで登場するのが「リスト型攻撃」(クレデンシャルスタッフィング)です。
仕組みは単純です。どこかのサービスから漏洩したメールアドレスとパスワードの組み合わせのリストを攻撃者が入手し、そのリストを別の様々なサービスのログイン画面に片っ端から自動入力して試します。総当たりのようにパスワードそのものを推測する必要がなく、「漏れた組み合わせがそのまま他サービスでも通用するか」を機械的に確認するだけなので、攻撃者にとってはコストの低い手口です。
この攻撃の成功率自体は1〜2%程度とされていますが、漏洩した認証情報のリストは世界累計で数百億件規模にのぼるとも言われ、母数が大きいため実害件数は無視できません。しかも1件のサービスへの不正ログインが成立すると、そこから芋づる式に複数のアカウントへ波及するケースも珍しくないと報告されています。
「自分は狙われるほど重要な情報を持っていない」と考えがちですが、リスト型攻撃はターゲットを選ばず機械的に流し込まれるため、パスワードを使い回しているというだけで標的になり得ます。
現実的な管理術
長く・使い回さないパスワードを維持するための、現実的な選択肢を挙げます。
パスフレーズで長さを稼ぐ
関連性のない単語をいくつか並べる方式です。「correct-horse-battery-staple」のように、意味の薄い単語をランダムに組み合わせると、覚えやすさを保ったまま桁数を稼げます。数字や記号を単語の間に挟めば、さらに強度を上げられます。
このサイトのパスワード生成ツールには、ランダム文字列だけでなく複数単語のパスフレーズを生成するモードがあり、桁数や単語数を指定して作成できます。生成処理はすべてブラウザ内で完結するため、生成したパスワードが外部に送信される心配もありません。
パスワード管理アプリに任せる
サービスごとに異なる長いパスワードを人間の記憶力だけで管理するのは現実的ではありません。専用の管理アプリに生成と保存を任せ、自分が覚えるのはアプリを開くための1つのマスターパスワードだけにする、という運用が現実的です。多くの管理アプリはブラウザ拡張機能と連携しており、ログイン画面での自動入力にも対応しています。
紙のメモは絶対NGではない
「パスワードを紙に書くのは危険」というイメージがありますが、実は一概にそうとも言い切れません。オンラインの漏洩リストに載る心配がなく、自宅の鍵のかかる場所に保管するだけであれば、ネットワーク経由の攻撃に対しては強い管理方法です。注意すべきは、外出先に持ち歩いたり、誰でも見える場所に貼ったりすることで、こちらは物理的な盗み見のリスクが上がります。管理アプリを使うのが難しい環境であれば、紙のメモも選択肢から外す必要はありません。
多要素認証を組み合わせる
パスワードだけに頼らず、ログイン時にスマートフォンの認証アプリや生体認証などを追加する多要素認証(MFA)を有効にできるサービスでは、必ず設定しておきましょう。パスワードが万が一漏れても、もう1段階の認証が突破を防ぐ壁になります。
まとめ
パスワードの強度を上げたいなら、記号を無理に詰め込むより、まず桁数を伸ばすことを優先してください。16桁前後のパスフレーズは、覚えやすさと強度を両立できる現実的な落としどころです。そして強いパスワードを1つ作るだけでなく、サービスごとに別々のパスワードを用意して使い回しをやめることが、リスト型攻撃から身を守る最も効果のある一手になります。
すべてブラウザ内で完結するパスワード生成ツールを使えば、ランダム文字列とパスフレーズのどちらも手軽に作成できます。次にパスワードを変更する機会があれば、まず桁数を見直すところから始めてみてください。