Skip to content

ランダムパスワードジェネレーター

無料のオンラインランダムパスワード生成ツール。ブラウザ上で安全な強力パスワードを即座に自動生成できます。長さや文字種のカスタマイズ、最大50個の一括生成に対応。エントロピー分析付き強度メーター搭載。データはサーバーに送信されません。

トラッキングなし ブラウザで動作 無料
すべてのパスワードはブラウザ内でローカルに生成されます。データの送信や保存は一切行われません。
4 128
暗号学的セキュリティとエントロピーの正確性を検証済み — Go Tools エンジニアリングチーム · Mar 22, 2026

ランダムパスワードジェネレーターとは?

ランダムパスワードジェネレーターは、予測不可能なランダムデータを使用して暗号学的に安全なパスワードを作成するツールです。生成されたパスワードは総当たり攻撃や辞書攻撃に対して高い耐性を持ちます。人間が考えたパスワードとは異なり、生成されたパスワードにはパターン、辞書の単語、個人情報が含まれません。これらは攻撃者が最も悪用する3つの弱点です。データ漏洩の80%以上が脆弱なパスワードまたは盗まれたパスワードに関連しています(Verizon DBIR)。強力なパスワード生成は防御の第一線です。

NIST SP 800-63B には次のように記載されています:「記憶する秘密情報は少なくとも8文字の長さでなければならない…検証者は他の構成規則を課すべきではない。」

このツールは、ブラウザ内蔵の Web Crypto API(crypto.getRandomValues())を使用して真の暗号学的ランダム性を生成します。各文字は選択した文字プールから独立してランダムに選ばれ、均一な分布と最大のエントロピーが確保されます。一意の識別子が必要ですか?UUID ジェネレーターをお試しください。

なぜこれが重要なのでしょうか?すべての文字種(大文字、小文字、数字、記号)を使用した16文字のパスワードは100ビット以上のエントロピーを持ちます。毎秒1兆回の推測速度でも、総当たり解読には数十億年かかります。一方、人間が同じ長さで作成したパスワードは、無意識にパターンに従うため、エントロピーがはるかに低くなります。

すべてのパスワード生成はブラウザ内で完結します。パスワードがネットワーク経由で送信されたり、サーバーに保存されたり、どこかに記録されることは一切ありません。ブラウザの「ネットワーク」タブを確認すれば検証できます。パスワード生成時に外部リクエストはゼロです。生成したパスワードを安全にエンコードして送信する必要がある場合は、Base64 エンコーダーをご利用ください。

// Generate a random password in JavaScript
function generatePassword(length, charset) {
  const array = new Uint32Array(length);
  crypto.getRandomValues(array);
  return Array.from(array, v => charset[v % charset.length]).join('');
}

// Example: 16-char password with all types
const chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*';
generatePassword(16, chars);
// → 'kX#9mP$2vL!nQ7wR' (random each time)

主な機能

暗号学的に安全

Web Crypto API(crypto.getRandomValues())を使用した真の乱数生成。パスワードマネージャーやセキュリティツールと同じ標準規格を採用しています。

完全カスタマイズ対応

パスワードの長さ(4〜128文字)、文字種(大文字・小文字・数字・記号)を自由に設定でき、紛らわしい文字の除外にも対応。あらゆるパスワード要件に合わせて調整できます。

一括生成

一度に最大50個のユニークなパスワードを生成できます。各パスワードは完全な暗号学的ランダム性で独立して生成されます。

強度分析

各パスワードのエントロピー(ビット数)と推定総当たり解読時間をリアルタイムで確認でき、パスワードの強度が正確に分かります。

100% ブラウザ内処理

すべてのパスワードはブラウザ内でローカルに生成されます。サーバーへのデータ送信は一切なく、パスワードの完全なプライバシーが保たれます。

パスワード例

高セキュリティ(32文字)

kX#9mP$2vL!nQ7wR&bZ4fG@8sY^5jD*3

機密性の高いアカウント向けの最大セキュリティ。大文字・小文字・数字・記号を含む32文字で、約200ビットのエントロピー。総当たり解読には数十億年かかります。

標準(16文字)

Tm$8kR!pN3vZ@5qW

ほとんどのアカウントに推奨されるデフォルト設定。すべての文字種を含む16文字で約105ビットのエントロピー。銀行やメールなどの重要なアカウントにも十分な強度です。

読みやすい(12文字、紛らわしい文字なし)

kRm4nTp7sWx2

読みやすく入力しやすい設定。0/Oやl/1などの紛らわしい文字を除外し、記号なし。Wi-Fiキー、一時パスワード、手動入力が必要な場面に最適です。

一括生成(5個のパスワード)

Hx$4mR!pN3vZ@5qWtB2j
Yk#7wL&8sF^9gQ*2dXnR
Pr@6bT$3cN!5hJ^8mKvZ
Wq*9fG#2nS!7yD@4xLpM
Zv&3kR$8tH!6jB@5wNcQ

一度に最大50個のユニークなパスワードを生成できます。各パスワードは独立してランダム化されます。複数アカウントの一括セットアップやチーム用の認証情報プロビジョニングに最適です。

使い方

  1. 1

    パスワードの設定

    長さスライダー(4〜128文字、デフォルト16)でパスワードの長さを選び、含める文字種を選択します:大文字、小文字、数字、記号。オプションで紛らわしい文字(0とO、lと1など)を除外することもできます。

  2. 2

    パスワードを生成

    「パスワードを生成」ボタンをクリックします。一度に1〜50個のパスワードを生成できます。各パスワードはブラウザの暗号学的乱数生成器を使用して作成され、最高のセキュリティを確保します。

  3. 3

    強度を確認

    各パスワードの下にある強度インジケーターを確認してください。エントロピー(ビット数)と推定総当たり解読時間が表示され、パスワードの安全性が正確に分かります。

  4. 4

    コピーして使用

    パスワードの横にある「コピー」ボタンをクリックしてクリップボードにコピーします。「すべてコピー」を使えば、生成されたすべてのパスワードを一度にコピーできます。

主な使用例

アカウント登録
新しいウェブサイトやアプリに登録するたびに、ユニークで強力なパスワードを作成しましょう。複数のアカウント間でのパスワードの使い回しを防ぎます。
パスワードマネージャーへの登録
高エントロピーのパスワードを生成してパスワードマネージャーに保存しましょう。すべてのアカウントで最初から最強のパスワードを使用できます。
企業・ITセキュリティ
データベース、サーバー、APIキー、サービスアカウント用に、企業のセキュリティポリシーを満たす安全なパスワードを生成します。
開発・テスト
開発環境、モックユーザーアカウント、自動テストシナリオで必要なテスト用パスワードを素早く生成します。
Wi-Fi・ネットワークセキュリティ
無線ネットワーク用の強力な WPA2/WPA3 キーを作成しましょう。20文字以上のランダムパスワードは総当たり攻撃を事実上不可能にします。

技術詳細

Web Crypto API
crypto.getRandomValues() を Uint32Array と組み合わせて使用し、暗号学的に安全な乱数を生成します。この API はすべてのモダンブラウザで利用可能で、オペレーティングシステムの CSPRNG(暗号学的擬似乱数生成器)を使用します。
エントロピー計算
エントロピー = log₂(文字プールサイズ) × パスワード長。文字プールサイズ:小文字(26)、大文字(26)、数字(10)、記号(32)。4種類すべて有効時:文字プール = 94文字、1文字あたり約6.55ビット。16文字のパスワード:約104.9ビット。
解読時間の推定
総当たり解読時間の推定は、毎秒10¹²(1兆)回の推測を前提としています。これはハイエンドの専用解読装置の性能に相当します。計算式:時間 = 2^エントロピー / 毎秒推測回数。人間が読みやすい単位(秒から数十億年まで)で表示されます。

ベストプラクティス

アカウントごとにユニークなパスワードを使用する
異なるサイト間でパスワードを使い回さないでください。1つのサイトで漏洩が発生した場合、使い回しのパスワードは攻撃者に他のすべてのアカウントへのアクセスを許してしまいます。本ツールでアカウントごとにユニークなパスワードを生成し、パスワードマネージャーに保存しましょう。
16文字以上を目指す
パスワードが長いほど、解読の難易度は指数関数的に上がります。すべての文字種を含む16文字のパスワードは、総当たり解読に数十億年かかります。高セキュリティのアカウントには20〜32文字を使用してください。
すべての文字種を有効にする
大文字・小文字・数字・記号を使用することで、文字プールと1文字あたりのエントロピーが最大化されます。サイトのパスワードルールで要求される場合のみ、特定の文字種を無効にしてください。
パスワードマネージャーを使用する
数十個のユニークなランダムパスワードを暗記することは不可能です。パスワードマネージャー(Bitwarden、1Password、KeePass)を使って安全に保管しましょう。覚える必要があるのは、1つの強力なマスターパスワードだけです。

よくある質問

オンラインパスワード生成ツールは安全ですか?
はい、このオンラインパスワード生成ツールは安全です。すべてのパスワードは JavaScript と Web Crypto API を使用してブラウザ内で完全に生成されます。サーバーにデータが送信されることは一切ありません。ブラウザの開発者ツール(F12 → ネットワークタブ)を開いてパスワード生成中に確認すれば、外部リクエストがゼロであることをご自身で検証できます。データがデバイスを離れないため、傍受やサーバー側の漏洩リスクはありません。これは Bitwarden や 1Password などの信頼性の高いパスワードマネージャーと同じローカル生成方式です。UUID ジェネレーターBase64 エンコーダーを含むすべてのツールが 100% ブラウザ内で動作します。
強いパスワードの条件とは何ですか?
強いパスワードの3つの要素は、十分な長さ、完全なランダム性、そしてアカウントごとの一意性です。長さは複雑さよりも重要です。16文字のパスワードは8文字のパスワードよりも解読が指数関数的に困難になります。さらに、大文字・小文字・数字・記号を組み合わせることで、可能な組み合わせ数を最大化できます。辞書の単語、名前、日付、「qwerty」のようなキーボードパターンは避けてください。最も重要なのは、複数のアカウントで同じパスワードを使い回さないことです。ランダムパスワード生成ツールを使えば、人間の偏りを完全に排除できます。
パスワードは何文字に設定すべきですか?
2026年現在、推奨される最小パスワード長は12文字ですが、ほとんどのアカウントでは16文字が理想的です。銀行、メインメールアドレス、クラウド管理などの高セキュリティアカウントには、20〜32文字を使用してください。すべての文字種を含む16文字のパスワードは約105ビットのエントロピーを持ち、毎秒1兆回の推測速度でも総当たり解読に数十億年かかります。文字が1つ増えるごとに、可能な組み合わせ数は倍増するため、長ければ長いほど安全です。
8文字のパスワードは安全ですか?
いいえ、8文字のパスワードはもはや安全とは言えません。大文字・小文字・数字・記号をすべて含めても、8文字のパスワードのエントロピーは約52ビットにすぎず、現代のハードウェアでは数時間〜数日で解読できます。一方、12文字のパスワードは解読に数世紀、16文字なら数十億年かかります。セキュリティ専門家と NIST は最低12文字を推奨しています。日常のアカウントには16文字、機密性の高いアカウントには20文字以上をお勧めします。
ランダムパスワードとパスフレーズはどちらが安全ですか?
どちらも非常に安全にできますが、それぞれ得意な分野が異なります。ランダムパスワード(例:kX#9mP$2vL!nQ7wR)は少ない文字数で最大のエントロピーを実現でき、文字数に制限がある場合に最適です。パスフレーズ(例:correct-horse-battery-staple)は覚えやすく入力しやすいですが、同等の強度を得るにはより長く(ランダムな単語4〜6個)する必要があります。パスワードマネージャーに保存するアカウントには、記憶する必要がないためランダムパスワードが最適です。パスワードマネージャーのマスターパスワードには、長いパスフレーズがより実用的です。
パスワードに記号を含めるべきですか?
はい、サービスが許可している場合は記号を含めることを推奨します。!@#$%^&* などの記号を追加すると、文字プールが62(英数字のみ)から90文字以上に拡大し、エントロピーが大幅に向上します。記号を含む16文字のパスワードは約105ビットのエントロピーを持ちますが、記号なしでは約95ビットです。ウェブサイトが特定の特殊文字を制限している場合は、パスワードの長さを2〜4文字増やすことで、文字プールの縮小を補えます。
ランダム生成されたパスワードをどうやって覚えればよいですか?
結論から言うと、覚えようとしないでください。代わりに、Bitwarden、1Password、KeePass などのパスワードマネージャーを使ってすべてのパスワードを安全に保管しましょう。パスワードボールトを解錠するために覚えるのは、1つの強力なマスターパスワードまたはパスフレーズだけで十分です。パスワードマネージャーがウェブサイトやアプリで自動的に認証情報を入力してくれるため、ランダムパスワードを手動で入力する必要は一切ありません。この方法なら、記憶の負担なく、すべてのアカウントにユニークで複雑なパスワードを使用できます。
すべてのアカウントで同じパスワードを使ってはいけない理由は何ですか?
パスワードの使い回しは、オンライン上で最大のセキュリティリスクの1つです。企業がデータ漏洩に遭った場合(これは日常的に起きています)、攻撃者は盗んだ認証情報を使って他のサービスにログインを試みます。これは「クレデンシャルスタッフィング」と呼ばれる攻撃で、多くの人がパスワードを使い回しているために有効です。1つのパスワードが漏洩すると、同じパスワードを使用しているすべてのアカウントが侵害されます。各アカウントにユニークなランダムパスワードを使用することで、1回の漏洩がそのサービスだけにとどまります。
パスワードはどのくらいの頻度で変更すべきですか?
現在の NIST ガイドライン(SP 800-63B)によると、パスワードが強力でユニークであれば、定期的に変更する必要はありません。強制的な定期変更は、人々が最小限の予測可能な変更しか行わないため、かえって弱いパスワードにつながることが多いです。代わりに、パスワードが漏洩した疑いがある場合、サービスがデータ漏洩を報告した場合、または他者と共有した場合に、直ちに変更してください。最善の戦略は、パスワードマネージャーと組み合わせて強力なランダムパスワードを使用し、具体的な理由がある場合にのみ変更することです。
「紛らわしい文字」とは何ですか?なぜ除外するのですか?
紛らわしい文字とは、視覚的に似ていて混同しやすい文字のペアです:0(ゼロ)と O(英字O)、l(小文字L)と 1(数字1)、I(大文字i)と l(小文字L)などがあります。これらを除外すると、パスワードの読み取り、入力、口頭での伝達が容易になり、エラーを減らせます。一時パスワードを他者に共有する場合や、モバイルデバイスでパスワードを手動入力する場合に特に便利です。文字プールのわずかな縮小はセキュリティにほぼ影響しません。紛らわしい文字を除外した16文字のパスワードでも、約97ビットのエントロピーがあります。
2026年にパスワードは何文字必要ですか?12文字で十分ですか?
2026年において、12文字は絶対的な最低限であり、ほとんどのアカウントでは16文字がデフォルトとして推奨されます。NIST SP 800-63B(2024年更新)は8文字を下限としていますが、セキュリティ実務者は16文字以上を広く推奨しています。その理由は、GPU 高速化された解読装置が、大文字・小文字のみの12文字パスワードを1日以内にすべて試行できるようになったためです。すべての文字種(94文字)を使用した12文字のパスワードは約79ビットのエントロピーを持ちます。これは十分ですが余裕はありません。すべての文字種を含む16文字のパスワードは約105ビットに達し、毎秒1兆回の推測速度でも解読に数十億年かかります。高価値アカウント(銀行、メール、クラウド管理)には20〜32文字を使用してください。長さと一意性を必ず組み合わせましょう。ユニークな12文字のパスワードは、使い回された32文字のパスワードよりも常に安全です。
SaaS製品のAPIキーを生成する必要があります。パスワード生成ツールを使うべきですか?
パスワード生成ツールでもAPIキーを生成できますが、最適なツールではありません。APIキーには特定の要件があります:高エントロピー(256ビット以上)、URL セーフ文字(+ や / を含まない)、固定の認識可能なフォーマット、そして多くの場合、迅速な識別のためのプレフィックス(sk_live_ や ghp_ など)です。最善の方法は、32バイトの暗号学的ランダムデータを生成し、Base64URL または16進数でエンコードすることで、コンパクトな文字列に256ビットのエントロピーを実現します。Node.js の場合:crypto.randomBytes(32).toString('base64url')。Python の場合:secrets.token_urlsafe(32)。本パスワード生成ツールを使う場合は、長さを43文字以上に設定し、英数字のみ(URL エンコードが必要な記号を除く)を使用してください。APIキーには常に製品名のプレフィックスを付けて、.env ファイルやシークレットマネージャーでユーザーが識別できるようにしましょう。
会社がパスワードに大文字・小文字・数字・記号を必須としていますが、NISTはそれが不要だと言っているそうです。どちらが正しいですか?
どちらの立場にも理由がありますが、対象としている問題が異なります。NIST SP 800-63B(2024年)は「大文字、小文字、数字、記号を含むこと」のような強制的な構成規則を推奨していません。なぜなら、予測可能なパターン(Password1! は技術的に準拠していますが脆弱)を生み出し、パスワードを覚えにくくして使い回しを助長するからです。NIST は長さに重点を置き、既知の漏洩パスワードリストと照合することを推奨しています。しかし、ランダムパスワード生成ツールとパスワードマネージャーを使用している場合、構成要件は無関係です。生成ツールはすべての文字種を最適に選択します。NIST のガイダンスは人間が選んだパスワードを対象としており、機械生成のパスワードではありません。パスワードマネージャーに保存する生成パスワードでは、すべての文字種を使用することが厳密に優れています。文字あたりのエントロピーが高くなるためです。結論:お勤めの会社のポリシーは人間が作るパスワードには最適ではありませんが、機械生成のパスワードには問題ありません。

関連ツール

すべてのツールを見る →

MD5ハッシュジェネレーター&ファイルチェックサムツール

セキュリティツール

無料オンラインMD5ハッシュ生成ツール。ブラウザ上でMD5・SHA-256・SHA-1・SHA-512のハッシュ値を即座に生成。テキストやファイルのチェックサム検証・比較、ワンクリックコピー対応。登録不要でデータはサーバーに送信されません。

UUID生成ツール & デコーダー

セキュリティツール

無料のオンラインUUID生成ツール。v1/v4/v5/v7の全バージョンを即時生成。UUIDのデコード・検証、最大50件の一括生成に対応。登録不要、100%ブラウザ上で動作します。

進数変換ツール — 2進数・16進数・10進数・8進数

単位変換

無料オンライン進数変換ツール。2進数、8進数、10進数、16進数および任意の基数(2-36)間で数値を瞬時に変換。BigInt対応で桁数制限なし。登録不要・サーバー送信なし、すべての処理がブラウザ内で完結。コピーボタンやコードリテラル出力で開発作業を効率化。

Base64エンコーダー&デコーダー

エンコーディングとフォーマット

Base64のデコード・エンコードが無料でオンラインで行えます。リアルタイム変換、UTF-8・絵文字対応。100%ブラウザ上で動作しデータは外部に送信されません。登録不要。

画像圧縮ツール — JPEG・PNG・WebP を無料でオンライン圧縮

単位変換

無料オンライン画像圧縮ツール。JPEG、PNG、WebP 画像をブラウザ上で最大 80% 縮小。サーバーへのアップロード不要で完全プライベート。最大 20 枚の一括圧縮、品質調整、圧縮前後の比較機能を搭載。登録不要ですぐに使えます。

JSONフォーマッター&バリデーター

エンコーディングとフォーマット

無料オンラインJSON整形ツール。ブラウザ上でJSONのフォーマット、構文検証、圧縮を即座に実行。エラー検出、ワンクリックコピー対応。データは端末外に送信されず、100%プライバシー保護。