パスワード強度アナライザー＆チェッカー

開発者安全

入力

自動処理

出力

クライアント側

財産	価値
長さ	<span id="ioValLength">—</span>
エントロピ	<span id="ioValEntropy">—</span>
文字プールサイズ	<span id="ioValPoolSize">—</span>
使用中の文字セット	<span id="ioValCharSets">—</span>
クラック時間（オンライン、100/秒）	<span id="ioValCrackOnline">—</span>
クラック時間（低速ハッシュ、10k/秒）	<span id="ioValCrackSlowHash">—</span>
クラック時間（高速ハッシュ、10B/秒）	<span id="ioValCrackFastHash">—</span>

広告・取り除く？

ガイド

パスワード強度アナライザー＆チェッカー

パスワードをリアルタイムで分析し、強度スコア、エントロピー、推定クラック時間、および潜在的な脆弱性を確認します。アナライザーは、一般的なパターン、キーボードウォーク、辞書単語、およびl33t speakの置換を検出します—これらすべて、パスワードがブラウザから離れることなく行われます。

使い方

パスワードを入力フィールドに入力または貼り付けます。アナライザーはリアルタイムで評価し、視覚的な強度メーター、詳細な分析、パターンの警告、および改善の提案を表示します。表示/非表示トグルを使用して、入力中のパスワードを表示します。

特徴

視覚的強度メーター – 4段階のカラーコードバー：弱（赤）、普通（オレンジ）、強い（黄色）、非常に強い（緑）
エントロピー計算 – 文字プールサイズとパスワード長に基づくビット単位の正確なエントロピー
クラック時間推定 – 3つの速度でのクラック時間：オンライン攻撃（100/秒）、bcryptのような低速ハッシュ（10k/秒）、およびGPUファームを使用した高速ハッシュ（10B/秒）
パターン検出 – 一般的なパスワード、キーボードウォーク（qwerty）、連続した文字、繰り返しの文字、日付パターン、および辞書単語に関する警告
l33t Speak検出 – @をaに、3をeに、0をoにするなどの一般的な置換を認識します
改善の提案 – 検出された脆弱性に基づくコンテキストに応じたヒント
100% クライアントサイド – パスワードはブラウザから離れることはありません—保証します

広告・取り除く？

 よくある質問

パスワードエントロピーとは何ですか？そしてなぜそれが重要ですか？

パスワードエントロピーは、パスワードのランダム性をビット単位で測定します。これは、log2(pool_size ^ length)として計算されます。ここで、pool_sizeは可能な文字の数です。エントロピーが高いほど、攻撃者が試行しなければならない可能な組み合わせが多くなります。40ビットのエントロピーを持つパスワードは約1兆の組み合わせを持ちますが、80ビットは1セクスティリオン以上を持ち、総当たり攻撃を非現実的なものにします。
P@ssw0rdのような一般的なパスワードは、混合文字を使用しているにもかかわらず、なぜまだ弱いのですか？

攻撃者は、最も一般的に使用されているパスワードとそのl33t speakのバリエーションのリストを保持しています。P@ssw0rdは事実上すべてのパスワード辞書に登場するため、文字の多様性に関係なく数秒でクラックされます。パターンベースの攻撃は、総当たり攻撃の前に、既知の置換（aの@、oの0、eの3）をチェックします。
安全と見なされるためには、パスワードはどのくらいの長さであるべきですか？

bcryptのような最新の低速ハッシュアルゴリズムで保護されたパスワードの場合、12〜16文字で混合文字タイプを使用すると強力な保護が得られます。MD5またはSHA-1のような高速ハッシュを使用するシステムでは、より長いパスワード（16〜20文字以上）が必要です。4〜5個のランダムな単語のパスフレーズ（20〜30文字）は、セキュリティと記憶しやすさの両方を提供します。
キーボードウォークとは何ですか？そしてなぜそれがセキュリティリスクなのですか？

キーボードウォークは、qwerty、asdfgh、zxcvbnのように、隣接するキーを順番に押すことによって作成されるパスワードです。これらのパターンはユーザーにはランダムに感じられますが、攻撃者にはよく知られています。パスワードクラッキングツールには、攻撃の早い段階でこれらのパターンをテストするキーボードウォーク辞書が含まれているため、その長さが示唆するよりもはるかに弱くなります。