そのパスワード、ハッカーは「知っています」

「ペットの名前」「自分の誕生日」「好きなアーティストの名前」… もしパスワードの一部にこれらを含んでいるなら、今すぐ変更することをお勧めします。

攻撃者は、あなたのSNS（InstagramやX）から個人情報を収集し、それを元に「あなた専用の辞書」を作って攻撃を仕掛けてきます。さらに恐ろしいのは、過去に他のサイトから流出したパスワードリストを使った「パスワードスプレー攻撃」や、高性能なGPUを使った「総当たり攻撃（ブルートフォースアタック）」です。

現代のコンピュータパワーを使えば、英小文字のみ8文字のパスワードは、瞬時に解読可能です。「記号を1つ入れたから大丈夫」と思っていませんか？それも、数分しか持ちません。セキュリティ企業の報告によれば、世界中のパスワードの約60%は、トップ1,000のリストにあるような単純なものだと言われています。

パスワード強度チェック入力したパスワードの強度を可視化し、改善アドバイスを表示

パスワードの強さを決める「エントロピー」とは？

パスワードの強度は、感覚ではなく数学で測ることができます。それが**エントロピー（bit数）**です。これは「そのパスワードを特定するのにどれだけの情報量が必要か」を示す指標です。

計算式

$$ E = L \times \log_2(N) $$

E: エントロピー（bit）
L: パスワードの長さ
N: 文字種（小文字26種、大文字26種、数字10種、記号30種など）

目安となる強度

40bit以下: 非常に弱い（即座に解読）
60bit前後: 普通（数日〜数週間で解読の恐れ）
80bit以上: 強い（数年〜数百年かかる）
100bit以上: 非常に強い（事実上解読不可能）

例えば、「apple123」は一見複雑そうですが、辞書にある単語と単純な数字の組み合わせなので、エントロピーは非常に低くなります。逆に、ランダムな文字列であれば、同じ長さでもエントロピーは高くなります。

Jeneeのチェッカーは、このエントロピーをブラウザ上で安全に計算し、あなたのパスワードがどれくらい「強い」のかを判定します。

最強のパスワードを作る3つの戦略

1. 「長さ」こそが正義

エントロピーの計算式から分かるように、文字種を増やすよりも、文字数（長さ）を増やす方が圧倒的に効果が高いです。指数関数的に強度が増すためです。

8文字（英数記号）: 約52bit
12文字（英数記号）: 約78bit
16文字（英数記号）: 約104bit

最低でも12文字以上、できれば14文字以上を目指してください。

2. パスフレーズ法（Diceware）

「ランダムな16文字なんて覚えられない！」という方におすすめなのが、無関係な単語を繋げる方法です。

× Tr0ub4dor&3（複雑で覚えにくいが、解析されやすい）
○ Correct-Horse-Battery-Staple（簡単で覚やすいが、非常に強力）

単語の間に区切り文字（ハイフンやスペース）を入れると、さらに強度が上がります。これは漫画『XKCD』でも紹介され、有名になった手法です。

3. パスワードマネージャーを使う

人間の脳には限界があります。全てのサイトで異なる複雑なパスワードを覚えるのは不可能です。 1Password や Bitwarden、ブラウザ標準（iCloudキーチェーンやGoogleパスワードマネージャー）の機能を使いましょう。あなたが覚えるのは、マネージャーを開くための「マスターパスワード」1つだけで良くなります。

見えない脅威：ソーシャルエンジニアリングとキーロガー

パスワード自体が強力でも、それを入力する環境が安全でなければ意味がありません。

ソーシャルエンジニアリング

人間の心理的な隙や行動のミスにつけ込んで情報を盗む手法です。

フィッシング詐欺: 本物そっくりの偽サイト（Amazonや銀行など）に誘導し、パスワードを入力させる。
ショルダーハッキング: カフェや電車で、後ろから肩越しに入力画面を盗み見る。

キーロガー

キーボードの入力履歴を記録するウイルスやスパイウェアです。これに感染していると、どんなに長く複雑なパスワードを入力しても、その「キータッチ」そのものが筒抜けになってしまいます。 OSやウイルス対策ソフトを常に最新の状態に保つことが重要です。

2段階認証（MFA）は「絶対」

どんなに強いパスワードでも、フィッシング詐欺で盗まれてしまえば無意味です。そこで最後の砦となるのが**2段階認証（2FA / MFA）**です。ログイン時に、パスワードに加えて「スマホに届くコード」などを要求する仕組みです。

SMS認証: 手軽だが、SIMスワップ攻撃のリスクがある。
認証アプリ（Authenticator）: Google Authenticatorなど。安全性が高い。
ハードウェアキー: YubiKeyなど。最強のセキュリティ。物理的な鍵がないとログインできないため、リモート攻撃をほぼ100%防げます。

可能な限り、SMSよりも認証アプリを設定するようにしましょう。

未来のセキュリティ：パスキー（Passkeys）

「パスワードを覚える」という行為自体が、まもなく過去のものになろうとしています。 Apple、Google、Microsoftが推進するFIDO（ファイド）認証を使った「パスキー」は、指紋や顔認証を使ってログインする仕組みです。

パスキーでは、秘密鍵はデバイス内に安全に保存され、サーバーには公開鍵しか保存されません。そのため、サーバーからパスワードが漏洩するリスク自体が存在しません。対応サイトが増えてきているので、設定可能な場合は積極的に切り替えていきましょう。

まとめ：今すぐできる「鍵の交換」

セキュリティ対策は「面倒くさい」と思われがちですが、被害に遭った時の損害（金銭、信用、思い出の写真の喪失）は計り知れません。家の鍵をかけずに外出する人はいませんよね？インターネット上の家である「アカウント」にも、しっかりとした鍵をかけましょう。

パスワードの使い回しをやめる（これが一番重要！）
重要なアカウント（Google, Apple, 銀行）のパスワードを14文字以上にする
2段階認証を設定する

まずは手始めに、あなたが普段使っているパスワードの強度をチェックしてみましょう。「数秒で解読可能」と表示されたら、それが変更の合図です。