パスワード生成

// パスワード生成に関するよくある質問

生成されたパスワードはサーバーに送信されますか？

いいえ、全ての処理はブラウザ内で完結します。パスワードは Web Crypto API の `crypto.getRandomValues()` を使用してブラウザのメモリ上で生成され、サーバーには一切送信されません。ローカルストレージへの保存も行わないため、ページを閉じれば生成履歴は完全に消えます。

どのくらいの長さのパスワードが安全ですか？

一般的に16文字以上のパスワードが推奨されます。大文字・小文字・数字・記号を全て含めることで、総当たり攻撃に対する耐性が大幅に向上します。重要なアカウント（銀行・メール・パスワード管理）には20文字以上、最重要なルートアカウントには32文字以上をおすすめします。

生成されるパスワードの安全性はどの程度ですか？

Web Crypto API の `crypto.getRandomValues()` を使用しており、暗号学的に安全な擬似乱数生成器（CSPRNG）に基づいています。`Math.random()` とは異なり、予測不可能な乱数を生成するため、セキュリティ用途に適しています。16文字 + 全文字種なら約105ビットのエントロピーがあり、現代の総当たり攻撃では現実的な時間で解読できません。

記号を含まないパスワードでも安全ですか？

記号を含めると文字種が増えてパスワードの強度が上がりますが、記号を含まない場合でも長さを増やすことで十分な強度を確保できます。記号が使えないサービス（ある種の銀行・社内システムなど）では、代わりに文字数を20文字以上に設定することを推奨します。実際、20文字の英数字パスワードでも115ビット相当のエントロピーがあり十分に強力です。

似た文字（0とO、1とlとI）を除外できますか？

はい、「紛らわしい文字を除外」オプションをONにすると `0 O o 1 l I |` などを生成対象から除外します。紙にメモする・口頭で伝える・手で入力する用途のパスワードでは、誤読や入力ミスを防げます。一方でエントロピーは若干下がるため、長さで補ってください（16→18文字推奨）。

パスワードマネージャーと併用するメリットは？

パスワードマネージャー（1Password・Bitwarden・KeePass・iCloudキーチェーンなど）を使うと、本ツールで生成した長くて強力なパスワードを覚える必要がなくなります。サービスごとに異なる強力パスワードを管理でき、ブラウザ自動入力で利便性も損なわれません。マスターパスワードだけは自分で覚えておく必要があります。

パスフレーズと通常パスワードのどちらが良い？

パスフレーズ（例 `correct-horse-battery-staple`）は覚えやすく、長さで強度を稼げる利点があります。一方、通常のランダムパスワードはより短い長さで同等の強度が得られます。サービスがパスワードマネージャー対応なら通常パスワード、自分で覚える必要があるマスターパスワードならパスフレーズ、と使い分けるのが現実的です。

同じパスワードを複数のサービスに使い回しても良い？

いいえ、絶対に避けてください。1つのサービスでパスワード漏洩が起きると、同じパスワードを使い回している全サービスに不正ログインされる「クレデンシャルスタッフィング攻撃」の被害を受けます。本ツールは複数本一括生成できるので、サービスごとに別のパスワードを生成して使い分けてください。

二要素認証（2FA）があればパスワードは弱くて良い？

いいえ、2FA は強力な追加防御ですが、パスワード自体の強度も依然として重要です。2FA のバイパス（SIMスワップ・フィッシング・セッション盗難）に成功されたケースでも、パスワードが強力ならログイン失敗を稼げます。「強いパスワード + 2FA」が現代のベストプラクティスです。

何文字までのパスワードを生成できますか？

本ツールでは 8文字〜128文字 まで指定可能です。一般的なWebサービスは 16〜32文字程度が現実的で、API キー・SSH 鍵代用などには 64〜128文字が使えます。長すぎるとサービス側で受け付けない場合があるので、生成後にそのサービスの最大長を確認してください。