生成したパスワードはサーバーに送信され保存されますか?
いいえ。当ツールはJavaScriptを用いてユーザーの端末内のみで動作します。運営者や他ユーザーがパスワードを知ることはありません。
自分のデバイス内だけで動いているというのは、どうやって確認できますか?
ページを読み込んだあとに、ネットワークを切断(機内モードなど)した状態で「生成」ボタンを押してみてください。何度でもパスワード生成をすることが確認できるはずです。
また、ブラウザの「開発者ツール(F12)」で通信内容を監視しても、外部へのデータ送信は一切行われていないことがわかります。
ネットにつながっていなくても使えますか?
はい、一度ページを読み込めばオフラインでも動作します。データは一切送信されません。
生成されるパスワードの「ランダムさ」は信頼できますか?
はい。当ツールは「Web Crypto API」という、OSレベルの高度な乱数生成器を使用しています。
一般的なプログラミングで使われる「Math.random()」のような予測可能な計算ではなく、暗号学的に安全なランダム文字列を生成するため、次に出る文字を予測することはスーパーコンピュータでも不可能です。
なぜ「紛らわしい文字」を除外するのですか?
数字の「1」と英小文字の「l(エル)」と英大文字の「I(アイ)」、と英小文字の「i(アイ)」と英子文字の「j(ジェイ)」、数字の「0」と英大文字の「O(オー)」と英小文字の「o(オー)」などは手入力時にミスが起きやすいため、利便性のために除外オプションを設けています。
文字数が多い暗記用(単語)が英数記号12文字より安全レベルが低いと判定される理由は?
攻撃者が「単語の組み合わせである」ことを見抜いて攻撃してくることを想定しているからです。
パスワードの強度は、攻撃者が「どういう作戦で攻めてくるか」によって変わります。
- 「バラバラ攻撃(総当たり)」の場合: 中身を知らずに1文字ずつ適当に当てる攻撃なら、文字数が多い単語構成は最強クラスです。
- 「単語狙い攻撃(辞書攻撃)」の場合: 「これは単語を繋いでいるな」と見抜かれると、攻撃者は文字ではなく「辞書にある単語のリスト」を組み合わせて攻撃してきます。
当ツールでは、より厳しい条件(後者の辞書攻撃)を想定して安全レベルを算出しているため、文字数の割に判定が厳しくなることがあります。
暗記用(単語)で「安全」判定以上を目指すなら、単語数を5つ以上にするのがおすすめです。文字数は長くなりますが、人間には覚えやすく、コンピューターには天文学的な組み合わせ数になります。
暗記用(単語)で「区切り記号」を変えても強度の数値が変わらないのはなぜですか?
理論上は区切り記号の選択肢を設けることで組み合わせ数は確かに増えます。
ですが、当ツールでは「攻撃者が当ツールを利用していることを把握しており、運悪く総当たり攻撃ではなく、先に辞書攻撃から試してきたという最も不利な条件」を想定して強度を表示しています。
単語を並べるパスワードは、文字数が多いため一文字ずつの総当たりには極めて強い反面、単語単位で狙われる『辞書攻撃』が最大の脅威となります。
そのため、記号による微増分に頼らず、単語の組み合わせだけで十分な安全性を確保できていることを示すために、あえて厳しめの計算結果を採用しています。
記号込で生成すると、使えない記号が含まれていてサイトに登録できないことがあります。
各サービスによって「使用可能な記号」のルールが異なるためです。特に " ' ` \ < > などの記号は、システムの誤作動を防ぐために禁止されている場合があります。
その場合は、「定番記号を選択」ボタンを押してみてください。
一般的に多くのサービスで許容されやすい記号(! # $ % & * + - . / = ? @ _ ~)だけを絞り込んで生成することができます。
他のサイトの生成ツールと何が違いますか?
単純な文字数評価ではなく、パスワードの構成に応じて「攻撃者が最初にどの攻撃手法を選ぶか」を想定し、辞書攻撃・総当たり攻撃の現実的な優先順位を考慮した安全指標を表示している点が特徴です。
解析時間の目安にある「毎秒800億回」というのは多すぎませんか?
いいえ。現代のミドルレンジGPU(RTX 4070等)の実測値に基づいた、極めて現実的な数値です。
- 解析の効率化:パスワード解析は、複雑な計算ではなく単純な作業を数万倍に並列化して行うため、GPUが得意とする分野です。
- ベンチマークの事実:解析ツール「Hashcat」のデータでは、RTX 4070クラスで標準的な高速ハッシュ(NTLM等)を想定した場合、1秒間に約800億〜1,000億回の試行が可能であると報告されています。
- 最悪の事態の想定:攻撃者はさらに高性能なRTX 4090を複数台並列させたり、クラウド上の演算資源を借りることもあります。
当ツールでは、特別な設備を持たない「個人のPC1台」であっても、最新世代であればこの程度の速度が出るという事実に基づき、安全性を厳しめに判定しています。
パスワードをQRコードで共有するのは安全ですか?
「自分のデバイス間(PC→スマホ)」や「対面」での一時的な利用に限定すれば、極めて安全かつ合理的です。
パスワードをメールやチャットで送ると、サーバーに履歴が永続的に残りますが、当ツールのQRコードは以下の「安全設計」を施しています。
- 完全ローカル生成: QR化の計算はブラウザ内で行われ、パスワードがインターネット上へ送信されることは一切ありません。
- 自動非表示機能: 表示から1分で自動的にポップアップを閉じ、画面の放置による「盗み見」のリスクを抑えます(再度ボタンを押せば再表示可能です)。
⚠️ スクリーンショット保存は避けてください
QRコードやパスワードをスクリーンショットで保存すると、スマートフォンの写真フォルダ(クラウド同期設定など)に機密データが残ってしまいます。
スマホの紛失やクラウドの乗っ取り時にパスワードが流出するリスクがあるため、読み取った後は即座に「パスワード管理アプリ」へ保存し、画像は残さないのが鉄則です。
QRコードを読み取るアプリは何を使えばいいですか?
OS標準のカメラアプリ(iPhoneのカメラ、Androidのレンズ等)を強く推奨します。
一部の無料QRコード読み取りアプリ(サードパーティ製)の中には、スキャンした内容を履歴としてサーバーに送信したり、スマートフォンのクリップボードを監視したりする「悪意のある挙動」をするものが存在する可能性があるからです。
- iPhone: 標準の「カメラ」アプリで読み取ってください。
- Android: 標準の「カメラ」または「Googleレンズ」を使用してください。
広告が表示されるような「スキャナーアプリ」は、パスワードのような機密情報の読み取りには絶対に使用しないでください。
生成したパスワードは定期的に変更すべきですか?
現在は、複雑で推測されにくいパスワードを設定し、それを使い回さないことが重要とされています。漏洩の疑いがない限り、無理に頻繁に変更する必要はありません。