強力なパスワードを作成して記憶する方法

新しい情報がひっきりなしに押し寄せる今、その流れが途切れることはありません。2025年の今では、2020年に「お母さんがオンライン・マーケットプレイスに登録するために、あなたが手伝って設定したメールアカウントのパスワード」など、記憶しておく余地はますます少なくなっています。記憶力の低下や脆弱（ぜいじゃく）なパスワード、サイバー犯罪などに対抗するために、ちょっとした努力をしてみましょう。

当社のエキスパートが繰り返し証明してきたように、あなたのパスワードは、時間とお金さえかければ解読されてしまう可能性があります。そして、多くの場合、時間もお金もほとんどかからないのが実情です。私たちの使命は、あなたのパスワードの解読を可能な限り破りにくくし、サイバー犯罪者があなたのデータを盗もうなどと考えないようにすることです。

昨年の当社の調査では、インテリジェントなアルゴリズムは、その実行環境がRTX 4090のような高性能なグラフィックカードでも、安価なクラウドのリースサーバーでも、世界中のパスワードの59%を1時間以内に解読できることが分かりました。現在、この調査の第2フェーズに取り組んでいる最中で、この1年で状況が改善したかどうかを発表する予定です。最新情報をいち早く知りたい方は、当社のこのブログかTelegramチャンネルをフォローしてください。

今回の話題は、安全な認証方法や強力なパスワードの作成方法にとどまりません。パスワードを記憶するためのコツや、2025年にパスワードマネージャーを使うべき理由についても詳しくご紹介していきます。

2025年に、より安全にサインインする方法

現在、オンラインサービスやウェブサイトにサインインする方法はいくつかあります。

• 従来のログインとパスワードの組み合わせ。
• Google、Facebook、Appleなどのサードパーティ サービスを使用したログイン。
• 次の認証方法のいずれかを使用した二要素認証（2FA）。
  • SMSのワンタイムコード
  • 認証アプリカスペルスキー パスワードマネージャー（やGoogle Authenticator、Microsoft Authenticatorなど)
  • ハードウェアキー（Flipper、YubiKe、USBトークンなど）
• パスキーと生体認証

もちろん、こうした方法はどれも危険にさらされる可能性があります（たとえば、公共の場に放置したパソコンのUSBポートにハードウェアトークンを刺したままにしておく、など）。一方で、20文字以上のランダムな文字で複雑なパスワードを作成することで、より強力な措置を取ることもできます。いずれにしても、従来型パスワードの時代はまだ終わっていません。そこで、覚えやすいパスワードを作成し、記憶することで、現在の状況を改善する方法を考えてみましょう。

複雑なパスワード、どうやって覚える？

この疑問に答える前に、パスワードの基本ルールを思い出してみましょう。

• 推奨される長さ：12〜16文字。
• 数字、小文字、大文字、特殊文字を組み合わせる。
• 氏名や生年月日など、個人情報は含めない。
• 全てのアカウントごとに、一意のパスワードを設定し使い回さない。

ここまではOKですね？では、次に進みましょう。さて、ここで重大な問題があります。複雑なパスワードは忘れやすく、シンプルなパスワードは解読されやすい、ということです。この二つのバランスを取るために、覚えやすいパスワードを作成するルールをまとめました。よく知られていますが、今でも効果的です。

基本レベル

暗号資産（仮想通貨）ウォレットの登録時にシードフレーズとして使用されるような、関連性のない単語をいくつかつなぎ合わせます。そして、自分にとっては意味があるが、攻撃者には簡単に推測できないような数字や特殊文字をいくつか追加します。

例：DryLandStandGift2015;)

短い単語の方が覚えやすく、数字は自分や家族などの生まれた年月日は使わないようにしましょう。代わりに、自分にとって覚えやすい組み合わせを選ぶとよいでしょう。たとえば、初めてディズニーランドに行った年、初めて買った車のナンバープレート、結婚式の日付などです。

上級レベル

お気に入りの歌詞や、映画の印象的なセリフなどを思い浮かべてみてください。そして、2文字おきや3文字おきに、キーボード上で並びが連続していない特殊文字に置き換えます。アクセスしやすい特殊文字（スマホのオンスクリーンキーボードの数字モードで表示される文字）を使用するのが便利です。このようにすると、入力しやすくて覚えやすい強力なパスワードを作成することができます。

たとえば、ハリー・ポッター シリーズのファンであれば、「Wingardium Leviosa」の呪文がそのような用途にうってつけかもしれません。上記のルールに従って、特殊文字と組み合わせて変形させてみましょう。

Wi4ga/di0mL&vi@sa

一見すると、このようなパスワードは覚えられないように思えますが、入力を少し練習するだけでよいのです。2、3回入力すれば、自然と指が正しいキーに向かうようになります。

ニューラルネットワークにパスワード生成を任せても大丈夫？

最近のChatGPTやそのほかの大規模言語モデル（LLM）の普及に伴い、パスワード生成にAIを利用するユーザーが増えています。それが魅力的な選択肢になる理由は一目瞭然で、自分で悩んで強力なパスワードを考える代わりに、AIアシスタントに依頼するだけで即座に結果が得られるからです。希望すれば、そのパスワードをニーモニック（記憶しやすい形）にしてもらうこともできます。

しかし残念なことに、AIを強力なパスワード生成ツールとして使用するのは危険です。AIが生成した文字の組み合わせは人の目にはランダムに見えても、実際にはそうとは限らないのです。見た目ほど信頼性が高いとは言えません。

当社の データサイエンス部門のリーダーであるAlexey Antonovは、以前、パスワード強度調査を実施した際に、ChatGPT、Llama、DeepSeekそれぞれで、1,000件ずつパスワードを生成して比較しました。その結果、どのモデルも、適切なパスワードは大文字と小文字の両方、数字、特殊文字を含む少なくとも12文字を組み合わせたパスワードで構成されているということを認識していることが判明しました。ただし、DeepSeekとLlamaは、辞書に載っている単語を一部の文字だけを、類似した数字や記号に置き換えたパスワードを生成することがありました（「B@n@n@7」や「S1mP1eL1on」など）。面白いことに、どちらのモデルも「Password」というパスワードにこだわりを持っているようで、生成されたバリエーションには「P@ssw0rd」「P@ssw0rd!23」「P@ssw0rd1」「P@ssw0rdV」などがありました。言うまでもなく、これらは安全なパスワードではありません。インテリジェントなブルートフォース（総当たり）攻撃アルゴリズムは、このような文字の置換テクニックを熟知しています。

一方、ChatGPTは、より強度の高いパスワードを生成しました。たとえば、次のようなパスワードです。

• qLUx@^9Wp#YZ
• LU#@^9WpYqxZ
• YLU@x#Wp9q^Z
• P@zq^XWLY#v9
• v#@LqYXW^9pz

これらは、完全にランダムな文字、特殊文字、数字の組み合わせのように見えます。しかし注意深く見てみると、一定のパターンも見えてきます。たとえば、「9」「W」「p」「x」「L」などの一部の文字は、他の文字よりも高い頻度で使用されています。生成された全てのパスワードの文字出現頻度ヒストグラムをまとめてみた結果、次のようなことがわかりました。ChatGPTが最もよく使う文字は、「x」と「p」で、Llamaは「#」を多用し、「p」もやや多い傾向にあります。DeepSeekが繰り返し使用しているのは、「t」と「w」です。一方で、完全にランダムな乱数ジェネレーターは、特定の文字をほかの文字よりも優先することがありません。全ての文字をほぼ等しい頻度で使用するため、パスワードの予測が難しくなります。

パスワードを1,000件生成した際の、各言語モデルによる文字の使用頻度。ChatGPTが生成するほぼ全てのパスワードには、「x」「p」「l」「L」の文字が含まれていることに注意。

さらに、LLMも人間と同様に、パスワードに特殊文字や数字を入れ忘れることがあります。特今回の調査では、ChatGPTが生成したパスワードの26%、Llamaでは32%、DeepSeekでは29%に、記号や数字が含まれていませんでした。

サイバー犯罪者がこうした特徴を理解した場合、AI生成のパスワードをブルートフォース攻撃で解読するスピードを大幅に高速化できてしまいます。私たちは今回、AIが生成した全てのパスワードを、以前の調査で使用したものと同じアルゴリズムで検証してみました。その結果は憂慮すべきものでした。DeepSeekで生成したパスワードの88%、Llamaの87%が十分な強度を持っていませんでした。最も優秀だったのはChatGPTで、セキュリティが不十分なパスワードはわずか33%でした。

残念ながら、LLMは真にランダムなパターン分布でパスワードを生成できるわけではなく、その出力は予測可能です。また、生成したパスワードがほかのユーザーのものと同じという事態も発生しかねません。では、どうすればよいのでしょうか？

組み合わせのアプローチ

私たちのお勧めは、当社のパスワードチェッカーサービスの使用や、もしくはさらに良い方法として、カスペルスキー パスワードマネージャーを使ってパスワードを生成することです。これらのサービスは、暗号的に安全なジェネレーターを使用して、パターンが見破られにくい、真にランダムなパスワードを作成できます。強力なパスワードを生成後、それを記憶するための覚えやすいニーモニックフレーズを決めましょう。

たとえば、パスワードジェネレーターが次の組み合わせを生成したとします。

HSVpk*VR0Gkq#WwJ

次に、パスワードを覚えやすくするヒントとなるフレーズを作りましょう。たとえば次のようなものです。In a high-speed vehicle (HSV), you go over a peak (pk) and see a star (*) in virtual reality (VR). Then you fall at zero gravity (0G) and see the king and queen (kq) behind the bars (#) in the White witch’s jail(WwJ)：高速の乗り物（HSV）でピーク（pk）を越え、星（*）をバーチャルリアリティ（VR）の中で見る。その後、ゼロG（0G）で落下し、王と王妃（kq）が檻（#）の中にいるのを見つけ、白い魔女の牢獄（WwJ）にたどり着く。

こうした記憶術は、このタイプのパスワードを覚える手助けとなります。少し抽象的で奇抜なイメージが必要になりますが、そのような発想が好きな方にはお薦めの方法です。さらに一歩進めて、こうしたストーリーの情景をイラストに描いてみるのもよいでしょう。あなた以外には、そのイラストの意味はほとんどわからないはずです。この方法は、パスワードを一つ覚えるには効果的な方法です。でも、パスワードが何百個もあったらどうなるでしょうか？

ブラウザーにパスワードを保存するのは安全？

パスワードを記憶するという問題に対処するため、多くのブラウザーにはパスワードを自動生成したり保存したりする機能がついています。確かにこれはとても便利で、必要な時にブラウザーが自動でパスワードを入力してくれます。しかし残念ながら、ブラウザーはパスワード管理ソフトではありません。パスワードを保存する場所としては、セキュリティの面で非常に問題があります。

問題なのは、サイバー犯罪者が、簡単なスクリプトを使用してブラウザーに保存されたパスワードをわずか数秒で盗み出す方法を、とっくの昔に見つけているということです。また、Googleアカウントなどを通じて、ブラウザーがクラウド上で異なるデバイス間のデータを同期する仕組みは、ユーザーにとって弊害があります。そのアカウントのパスワードがハッキングや騙されて誰かに取得されてしまうと、ほかの全てのパスワードも丸見えになってしまいます。

パスワードマネージャーを使用しましょう

本物のパスワードマネージャーは、全てのパスワードを暗号化された保管庫（ストレージ）に保存します。たとえば、カスペルスキー パスワードマネージャーは、米国国家安全保障局が国家機密の保存に使用している AES-256対称暗号化アルゴリズムで暗号化されたストレージに、全てのパスワードを保存します。このアルゴリズムでは、あなただけが知っている（当社であっても知ることがない）メインパスワードを暗号化キーとして使用します。カスペルスキー パスワードマネージャーへアクセスするたびに、このパスワードの入力が求められ、そのセッション中のみストレージが復号されます。この暗号化されたストレージには、パスワードだけでなくクレジットカード番号、スキャンした書類、メモなどの大切な情報も保存できます。

カスペルスキー パスワードマネージャーには、ほかにも便利な機能があります。

• 一意かつ完全にランダムなパスワードを生成できます。
• コンピューターとモバイルデバイスの両方でパスワードを入力できます。
• 主要なモバイルプラットフォーム、およびmacOSやWindowsコンピューターでも使用可能で、よく使用されるブラウザー向けの拡張機能も実装しています。
• パスワードデータベースは、暗号化された状態で全てのデバイス間で同期されます。
• Google Authenticatorの代わりに、コンピューターを含む全てのデバイス上の全アカウントの二要素認証コードを生成することができます。
• パスワードが流出または侵害されていないかをチェックし、変更が必要な場合はアラートで知らせます。

カスペルスキー パスワードマネージャーの使用には、これまで紹介した方法で一つのメインパスワードを考え、それを覚えておくだけです。このパスワードは、ストレージの暗号化に使用されます。重要なことは、このメインパスワードを絶対に忘れないことです。もし忘れてしまった場合は、そのほかのパスワードも全て最初から作成しなおすことになります。暗号化されたストレージには、誰もアクセスできません。カスペルスキーの従業員であっても、例外ではありませんし、当社があなたのメインパスワードを知ることもできません。

まとめ

2025年にパスワードを適切に管理する方法をまとめました。

• 上で紹介したガイドラインに従って安全なメインパスワードを作成し、パスワードチェッカーサービスを使用して、暗号強度をテストしましょう。
• 強力なメインパスワードを作成したら、記憶術（ニーモニック）ルールで覚えやすくしましょう。
• カスペルスキー パスワードマネージャーを、全てのデバイスにインストールすることを推奨します。このアプリを使えば、メインパスワード一つだけを覚えておけば大丈夫です。残りのパスワードは、アプリが覚えてくれます。
• 可能な限り、パスキーや二要素認証を使いましょう。特にこのアプリを通じて使用することが理想的です。強力なパスワードと安全な認証方法の組み合わせは、不正アクセス対策に大きな効果を発揮します。
• カスペルスキー公式ブログを定期的にチェックして、最新のセキュリティ情報をキャッチしましょう。

 

強力なパスワードを作成し正しく管理することについては、以下のブログ記事でもご紹介しています。

強力なパスワードを作成する方法と保存場所

ハッカーがあなたのパスワードを1時間で解読する方法

パスワードを安全に管理する方法

パスワードの初歩：安易にパスワードを入力しない （英語）

カスペルスキー パスワードマネージャー、デザインと機能をアップデート