「強いパスワード」は感覚では測れない

「記号を入れたから安全」と思っていても、実際の強さは別物です。パスワードの強さは**エントロピー（情報量）**という指標で数値化でき、これが「総当たり攻撃で破るのにどれくらいかかるか」を決めます。

エントロピーとは

エントロピーは「そのパスワードが取りうる組み合わせの多さ」をビットで表したものです。ざっくり言うと次の式で決まります。

つまり、強さに最も効くのは「文字種」よりも「長さ」です。

文字種を「英大小文字＋数字＋記号」とした場合の、総当たりに対するおおよその強さのイメージです。

8文字では心もとなく、12文字以上が現代の最低ラインです。

「P@ss1!」のような短くて複雑なパスワードより、「correct-horse-battery-staple」のような長いフレーズのほうがエントロピーは高くなります。ただし、実在する単語の単純な連結は辞書攻撃に弱いため、長さ＋予測しにくさの両立が理想です。

パスワード強度チェックツールでは、入力したパスワードのエントロピーと突破までの推定時間、弱点（短い・文字種が少ない等）をその場で評価します。処理はすべてブラウザ内で完結し、入力したパスワードはサーバーに送信されません。

ゼロから安全なものを作るならパスワード生成ツールが便利です。安全なパスワードの作り方と管理術はこちらの記事で詳しく解説しています。