パスワードは何文字以上がいいのか？ベストは〇文字以上！

パスワードの文字数による総当たりの組数

パスワードは総当たり攻撃といいまして、PCを使って、膨大な文字数の組み合わせを全部試してみて、正解を当ててしまうことができます。

半沢直樹のドラマでもやっていましたが、実は時間をかければ可能なんです。

以下wikipediaに掲載されているパスワードの文字数別総当たり回数比較です。

総当たり攻撃の全パターン試行回数

使用する文字の種類	1文字の場合	4文字の場合	6文字の場合	8文字の場合	10文字の場合
数字のみ（0～9）	10	10,000	1,000,000	100,000,000	10,000,000,000
英字（大文字、小文字区別しない）	26	456,976	38,915,776	208,827,064,576	141,167,095,653,376
英字（大小区別しない）+数字	36	1,679,616	2,176,782,336	2,821,109,907,456	3,656,158,440,062,976
英字（大文字、小文字区別）＋数字	62	14,776,336	56,800,235,584	218,340,105,584,896	839,299,365,868,340,224
英字（大小区別）＋数字＋記号31文字	93	74,805,201	646,990,183,449	5,595,818,096,650,401	48,388,230,717,929,320,352
英字（大小区別）＋数字＋記号34文字	96	84,934,656	782,757,789,696	7,213,895,789,838,336	66,483,263,599,150,104,576

文字数が増えるほど、また記号や大文字や数字などが入るほど、総当たり回数が増えていくことがわかりますね。１０桁で、記号、大文字、数字も含めた場合、とんでもない組み合わせ数になっています。

 

パスワード1文字増えるごとに解読にかかる時間は激増

そして、実際上記の組み合わせを行うためにかかる時間をIPAという団体がごく一般的なPCで調査したところ以下の結果になりました。

使用できる文字数と入力桁数によるパスワードの最大解読時間(IPA,2008)

使用する文字の種類	4文字の場合	6文字の場合	8文字の場合	10文字の場合
英字（大文字、小文字区別しない）	約3秒	約37分	約17日	約32年
英字（大文字、小文字区別）＋数字	約2分	約5日	約50年	約20万年
英字（大文字、小文字区別有）＋数字＋記号	約9分	約54日	約1千年	約1千万年

 

また、上記データはちょっと古いものでしたので、PCは毎年どんどん計算能力が上がっていきますが、２０２０年に調査したパスワード解読までにかかる時間のデータはこちらです。

設定方法	数字	小文字	小+大文字	小+大+数	小+大+数+記号
6文字	1秒以下	1秒以下	1秒以下	1秒	5秒
7文字	1秒以下	1秒以下	25秒	1分	6分
8文字	1秒以下	5秒	22分	1時間	8時間
9文字	1秒以下	2分	19時間	3日	3週間
10文字	1秒以下	1分	1ヶ月	7ヶ月	5年
11文字	2秒	1日	5年	41年	400年
12文字	25秒	3週間	300年	2,000年	34,000年

元サイトはこちら⇒

組み合わせ数で言われてもピンときませんが、解読までにかかる時間でみるとイメージしやすいですね。今は、スーパーコンピューターや量子コンピューターなどもありますので、最低でも１２桁以上、かつ大文字や記号も含めた方がいいのかなと思いますね。

 

おすすめのパスワードは何文字以上がいいのか？

先ほどのIPAという団体では、以下の条件でした。

IPA　推奨パスワードの条件

①最低でも１０桁以上　　②大文字小文字がある　　③記号も使っている

 

google 推奨パスワードの条件

①12文字以上　②半角英字、数字、記号を使っている

団体や企業ごとにお勧めのパスワード桁数は若干違いますが、先ほどの解読時間を考えると、当サイトとしては、最低12桁以上。そして、記号、大文字も含めることをお勧めしたいと思います。

12桁以上のパスワードの作り方

長いパスワードだと、覚えるのが大変になってきますよね。かといって、生年月日等を入れれば、簡単に解読されてしまう恐れも。

コアパスワードを設定

12桁以上のパスワードは、コアパスワードを設定することをお勧めします。

「コアパスワード（8桁くらい）」　＋　「　記号　　」　＋　「　数字　」などの組み合わせです。

例えば、「todayisrain（11桁）」＋「$」＋「22」　➡　todayisrain$22

という作り方です。

つまり覚えやすい短いパスワードに記号、数字などを組み合わせる方法です。

名前や生年月日を変えるマイルールを考える

例えば、watanabeではなく、aを全部bにしてみて、wbtbnbeにしてみる。

生年月日が0615であれば、これを倍して、1230にしてみる。

自分だけのマイルールで覚えやすいものを変換することで、安全性が高まります。

 

google workspaceでは、ユーザーのパスワードの桁数指定が可能

有料版google workspaceでは、パスワードの桁数指定が可能です。

左側のメニューから　セキュリティ　＞　認証　＞　パスワードの管理に進みましょう。

安全なパスワードを適用するにチェックをいれましょう。これで、文字だけとか、passwordのような簡単に解読されそうなパスワードは設定ができなくなります。

そして、長さも設定ができます。おすすめは12桁以上です。

なお、microsoft365では、パスワードの有効期限をポリシーで設定ができるのですが、桁数や記号を入れるなどのルール設定はできません。運用ルールとしては社内で定めることしかないですね。

パスワードを定期的に変更は不要？

実は、総務省やアメリカのNIST（米国国立標準技術研究所）などは、パスワードを定期的に変更する必要はないという声明を出しています。定期的に変更する場合、覚えやすいパスワードにせざるを得ないので、より簡単なパスワードになってしまいがちで、逆に安全性が損なわれるということなんですね。

元記事はこちら⇒

 

パスワードは何文字以上が安全か？

パスワードの安全性は「何文字か」だけでなく、長さ・使い回し・追加認証の組み合わせで決まると捉えることが重要です。押さえる観点は次のとおりです。

項目	内容
長さの効果	文字数が増えるほど総当たり攻撃に対する強度は飛躍的に高まる
複雑さより長さ	記号混在の短い文字列より、十分に長い文字列の方が破られにくい傾向がある
使い回し禁止	強いパスワードでも他サービスと使い回すと、漏洩連鎖で一気に突破される
追加認証	多要素認証を併用すれば、パスワード単体が漏れても侵入を防ぎやすい

 ポイントは、特定の文字数だけを正解とするより「十分に長い・使い回さない・多要素を足す」を満たすことが実務的な解だという点です。最新の推奨は指針で更新されるため、公的機関の一次情報も併せて確認することが前提になります。覚えやすく長い運用に切り替えることが、

強化の出発点になります。

中小企業はどう運用すべき？

強度は、個人任せでなく組織のルールと仕組みで担保することが重要です。押さえる進め方は次のとおりです。

項目	内容
方針の明文化	最低文字数・使い回し禁止・重要システムは多要素必須などをルール化する
ツール活用	パスワード管理ツールで長く一意なパスワードを生成・保管し、人の限界を補う
多要素の徹底	メール・基幹・管理者アカウント等、重要度の高いものから多要素を必須化する
漏洩時対応	流出が疑われた際の即時変更・該当アカウント停止の手順を決めておく

 最大のつまずきは、複雑な変更を個人に強い、結果として使い回しや単純化を招くことです。当社は中小企業の認証・アカウント運用を、ルール策定からツール・多要素導入まで伴走支援しています。長さと使い回し回避を仕組みで担保し、重要システムに多要素を足すことが、

強化の要点になります。

パスワード運用チェック

安全なパスワードの文字数とは、安全なパスワードの文字数と作り方の考え方のことで、何文字かだけでなく長さ・使い回し・追加認証の組み合わせで安全性が決まると捉えることが重要です。

文字数が増えるほど総当たりへの強度は飛躍的に高まり、記号混在の短い文字列より十分に長い文字列の方が破られにくく、強くても他サービスと使い回すと漏洩連鎖で突破され、多要素認証を併用すればパスワード単体が漏れても侵入を防ぎやすいです。

特定文字数だけを正解とするより十分に長い・使い回さない・多要素を足すを満たすことが実務解で、推奨は指針で更新されるため公的機関の一次情報も確認します。

最低文字数・使い回し禁止・重要システム多要素必須の明文化、パスワード管理ツールでの生成・保管、重要度の高いものからの多要素徹底、流出時の即時変更・停止手順が要点で、複雑な変更を個人に強い使い回しや単純化を招く失敗を避け、

長さと使い回し回避を仕組みで担保し重要システムに多要素を足すことが要点となります。

 以下に、押さえるべき要点とその内容を整理します。

項目	ポイント	解説
長さ	強度の基本	長いほど総当たりに強い
使い回し	禁止	漏洩連鎖を断つ
管理	ツール活用	生成・保管で人の限界補完
多要素	重要から必須	単体漏洩でも侵入防止
有事	即時対応	流出時の変更・停止手順

より詳しい一次情報は公式の解説もあわせてご確認ください。

IPA 情報セキュリティ（一次情報） ➡

この記事のよくある質問（FAQ）

本記事に関して、よく寄せられる質問をまとめました。

Q. 何文字以上が安全？

A. 特定の文字数だけが正解というより、十分に長いことが基本です。文字数が増えるほど総当たり攻撃への強度は飛躍的に高まるため、長く・使い回さず・多要素認証を足す、を満たすのが実務的な解です。

Q. 複雑さと長さどちらが重要？

A. 近年は記号混在の短い文字列より、十分に長い文字列の方が破られにくいとされ、長さがより重視されます。複雑さを個人に強いるより、長く覚えやすい運用へ切り替える方が安全です。

Q. 管理はどうする？

A. 人の記憶に頼らず、パスワード管理ツールで長く一意なパスワードを生成・保管するのが現実的です。さらに重要システムには多要素認証を併用し、単体漏洩でも侵入されない備えを足します。

Q. 定期変更は必要？

A. 近年は機械的な定期変更より、十分な強度の確保・使い回しの回避・漏洩が疑われた時の即時変更を優先する考え方が主流です。形式的な変更は単純化や使い回しを招きやすく逆効果になり得ます。

関連情報・お問い合わせ

お問合せはこちら➡

まとめ

パスワードの長さについて、まとめてみました。特に法人の場合、従業員が覚えやすい安易なパスワードを使ってしまう可能性がありますので、google workspaceのような設定ができるのはありがたいですね。

また、定期的に変更するのは大変です。ある程度セキュリティの高いパスワード作成して、それを使うことの方が重要ではないでしょうか。

 

関連記事

 

 

法人向けセキュリティソフトの
料金自動一括比較サイトを新しくオープンしました！
　c-compe.com⇒

株式会社アーデントは、デジタル化・AI導入補助金の支援事業者を行っております！

アーデントからデジタル化・AI導入補助金を使ってクラウドツールを導入するメリットは以下の通りです。

メリット①対象ツールを２年間、半額、もしくは１／４で利用可！

メリット②会計、経費精算、請求書処理、受発注ツール導入なら、PCやタブレットの購入も補助が受けられ半額！

メリット③補助期間終了後は、公式価格よりお値引き！

メリット④各種IT活用、DX、保守サポートでより貴社のIT化を促進、生産性を向上します！

【弊社取り扱いクラウドツール】

🔹オフィスソフト・グループウェア: 　Google Workspace※、Microsoft365、desk'nets NEO※
🔹ノーコード業務改善：kintone、Zoho※、楽楽販売、JUST.DB※、サスケworks
🔹コミュニケーション: 　サイボウズオフィス、Chatwork、LINE WORKS、zoom
🔹会計・経費管理: 　マネーフォワード、freee、楽楽精算、楽楽明細、楽楽請求、invox
🔹電子契約・文書管理:　 freeeサイン、クラウドサイン、GMOサイン、Adobe Acrobat
🔹セキュリティ対策: 　sophos、SentinelOne、ESET、ウイルスバスタークラウド
🔹バックアップ: 　syscloud、Avepoint
🔹RPA・自動化: 　RoboTANGO、DX-Suite、Yoom※、バクラクシリーズ
🔹勤怠・労務管理: 　勤革時、楽楽勤怠、マネーフォワード
🔹物流・在庫管理: 　ロジザードZERO
🔹教育・マニュアル作成管理:　 iTutor、NotePM、leaf
🔹PBX・電話システム: 　INNOVERAPBX※、MOTTEL※
🔹端末管理：LANSCOPE、clomo
🔹リモートデスクトップ：RemoteOperator在宅
🔹受付ipad：ラクネコ※
🔹タスク管理、その他：Adobe creative cloud、Noota、JOSYS、backlog※
など

※こちらのツールは補助期間終了後の値引不可

また、上記以外のツールも取り扱いできるものが多々ありますので、一度ご相談ください。

デジタル化・AI導入補助金2026の詳細、お問合せはお電話頂くか、以下の記事を御覧ください↓

デジタル化・AI導入補助金お問合せ：03-5468-6097

以下の動画では、採択のポイントや申請にあたっての注意点などを詳しく解説していますので、
あわせてご覧ください！