入力したパスワードは外部に送られますか？

いいえ。計算はすべてあなたのブラウザの中（純JavaScript）で完結し、サーバーには一切送信されず保存もされません（送信ゼロ）。念のため本物そっくりの架空の文字列で試すのがおすすめです。

「エントロピー（bit）」とは何ですか？

パスワードの当てにくさを表す情報量の目盛りです。1文字あたりの候補数を対数（log2）にして文字数を掛けて求めます。bitが1増えるごとに総当たりの手間は2倍。目安として60bitで「ふつう」、80bit以上で「非常に強い」とみなしています。

「解読時間」はそのまま信じてよいですか？

あくまで目安です。実際の速度は攻撃者の設備や保存方式で桁違いに変わります。bcrypt・Argon2のような意図的に遅いハッシュなら時間は大きく伸び、生のSHAを高速GPUで攻撃されると一気に縮みます。

長いのに「弱い」と出ました。なぜですか？

よくあるパスワード・連番（123）・繰り返し（aaaa）・西暦・キーボードの並び（qwerty）などの規則性があると、攻撃者が真っ先に試すため実効的な強さを割り引いています。長さに加えて規則性を避けることが大切です。

強いパスワードはどう作ればよいですか？

何より長さが効きます。12文字以上、できれば16文字以上を目安に、大文字・小文字・数字・記号を混ぜましょう。覚えやすく長くするなら、無関係な単語を4語ほどつなぐ「パスフレーズ」も有効です。

これは他人のパスワードを破るツールですか？

いいえ。「強いパスワードとは何か」を学ぶための防御・教育ツールです。他人のアカウントへの不正アクセスは犯罪です。自分のパスワードを点検し、より安全に改善する目的でお使いください。

セキュリティを整える

初級

パスワード強度・解読時間を整える。

＝パスワードの強さと、破られるまでの時間を見る

入力したパスワードがどれくらい強いか、総当たりで破られるまでにどれだけ時間がかかるかを推定します。よくある弱点も見つけて、強いパスワードの作り方が学べます。入力はこの端末の中だけで計算し、どこにも送信・保存しません（送信ゼロ）。

TLDR — 30秒で分かる

入力したパスワードの強さと、破られるまでの推定時間がその場で分かる。弱点も指摘。送信ゼロ。

主な機能を見る

エントロピー(bit)を文字種×長さでライブ計算
よくあるパスワード・連番・繰り返し・西暦・キーボード列を検出して減点
5シナリオ(オンライン/bcrypt/GPU/大規模)の解読時間を可読表示
とても弱い〜非常に強いの強度ラベルとバー
長さ・多様さ・使い回し回避・パスフレーズの具体アドバイス
表示/非表示トグル・完全に端末内処理(送信ゼロ)

アニメで見る — なぜ長いパスワードは破られにくい？ ▶ 再生で1ステップずつ動きます

🦹

攻撃者

総当たりを回す

📋

候補リスト

よくある・短い

🔢 候補は少しだけ

🎯 password / 1234…

🔓

ログイン関門

照合する

💥 一瞬で突破

🦹

攻撃者

同じ総当たり

📋

候補リスト

長さ＋文字種で爆発

🌌 候補が天文学的に

🔠 長さ × 記号 × 大小

🔒

ログイン関門

照合する

🧱 時間の壁で弾かれる

⏳ 現実的に破れない

STEP 1

※ イメージ図です。実際の解読時間は下のツールで試せます。攻撃の手順ではなく「候補の数」の感覚をつかむための図です。

🔒 入力したパスワードは、この端末（ブラウザ）の中だけで計算します。サーバーには一切送信せず、保存もしません（送信ゼロ）。ただし、実際に使っている本物のパスワードを入力するのは自己責任で。練習には似た形の架空のものをおすすめします。表示する時間はあくまで目安で、実際の攻撃速度は相手の設備やハッシュ方式で桁違いに変わります。これは攻撃ツールではなく「強さを学ぶ」防御ツールです。

パスワードを入力（または試したい文字列）入力すると即時に再計算（送信ゼロ）

強度 —

長さ

0 文字

実効エントロピー

0 bit

1文字あたりの候補

0 種

○小文字 a-z ○大文字 A-Z ○数字 0-9 ○記号 !@# ○空白 ○その他（日本語など）

減点前の理論エントロピー: 0 bit （実効値は下の弱点で割り引いた値です）

総当たりで破られるまで（推定・目安）

オンライン・制限あり

正しく作られたログイン画面（約10回/秒）

—

オンライン・制限なし

回数制限のないAPIなど（約1,000回/秒）

—

オフライン低速ハッシュ

漏洩DBを bcrypt / Argon2 で総当たり（約1万回/秒）

—

オフライン高速ハッシュ・GPU

生のSHA等をGPUで総当たり（約100億回/秒）

—

大規模・専用ハード

大量のGPU・専用機材（約1兆回/秒）

—

平均すると全候補の半分を試す前提で計算しています。実際の速度は攻撃者の設備やハッシュ方式（bcrypt / Argon2 など低速ほど安全）で桁違いに変わります。下の数字は「強さの感覚」をつかむための目安です。

強くするためのヒント

強さの考え方・4つ

強さは「長さ × 文字の多様さ − 規則性」で決まります。

1

エントロピー（bit）= 当てにくさの目盛り

パスワードの強さは情報量「エントロピー」で測れます。1文字あたりの候補数を log2 して長さを掛けたもの。bit が 1 増えるごとに、総当たりの手間は2倍になります。
2

長さが一番効く

記号を1つ足すより、文字数を増やすほうが効きます。8文字を12文字にするだけで候補は天文学的に増えます。覚えやすく長くするなら、無関係な単語をいくつもつなぐパスフレーズが有効です。
3

規則性は一瞬で見破られる

よくあるパスワード・連番（123）・繰り返し（aaaa）・西暦・キーボードの並び（qwerty）は攻撃者が真っ先に試します。どれだけ長くても、規則的なら実効的な強さはガクンと下がります。
4

使い回さない・マネージャーに任せる

1つのサービスが漏れても、別のサービスを守れるように使い回しは厳禁。サービスごとに違う強いパスワードを作り、パスワードマネージャーに覚えさせるのが現実的で安全です。可能ならパスキー・二要素認証も併用を。

⚠ 推定時間の見方

表示する解読時間は目安です。実際の速度は、相手の設備（GPUの台数）や保存方式（bcrypt / Argon2 のような遅いハッシュほど安全）で何桁も変わります。「数百万年」と出ても油断せず、長さ・多様さ・使い回さないを守るのが本筋です。

🔒 すべての計算はあなたのブラウザの中（純JavaScript）で完結します。入力したパスワードはサーバに送られず、保存もされません（送信ゼロ）。攻撃のためではなく、強いパスワードを学ぶための防御ツールです。

よくある質問

Q. 入力したパスワードは外部に送られますか？: A. いいえ。計算はすべてあなたのブラウザの中（純JavaScript）で完結し、サーバーには一切送信されず保存もされません（送信ゼロ）。念のため本物そっくりの架空の文字列で試すのがおすすめです。
Q. 「エントロピー（bit）」とは何ですか？: A. パスワードの当てにくさを表す情報量の目盛りです。1文字あたりの候補数を対数（log2）にして文字数を掛けて求めます。bitが1増えるごとに総当たりの手間は2倍。目安として60bitで「ふつう」、80bit以上で「非常に強い」とみなしています。
Q. 「解読時間」はそのまま信じてよいですか？: A. あくまで目安です。実際の速度は攻撃者の設備や保存方式で桁違いに変わります。bcrypt・Argon2のような意図的に遅いハッシュなら時間は大きく伸び、生のSHAを高速GPUで攻撃されると一気に縮みます。
Q. 長いのに「弱い」と出ました。なぜですか？: A. よくあるパスワード・連番（123）・繰り返し（aaaa）・西暦・キーボードの並び（qwerty）などの規則性があると、攻撃者が真っ先に試すため実効的な強さを割り引いています。長さに加えて規則性を避けることが大切です。
Q. 強いパスワードはどう作ればよいですか？: A. 何より長さが効きます。12文字以上、できれば16文字以上を目安に、大文字・小文字・数字・記号を混ぜましょう。覚えやすく長くするなら、無関係な単語を4語ほどつなぐ「パスフレーズ」も有効です。
Q. これは他人のパスワードを破るツールですか？: A. いいえ。「強いパスワードとは何か」を学ぶための防御・教育ツールです。他人のアカウントへの不正アクセスは犯罪です。自分のパスワードを点検し、より安全に改善する目的でお使いください。