「8桁のパスワードなら安全」と思っていませんか。最新のGPUを使えば、数字のみの8桁パスワードはわずか15分で解読できてしまいます。
この記事では、パスワードの桁数×文字種ごとの解読時間を早見表でまとめました。Hive Systems 2025年の最新データとNISTガイドラインをもとに、本当に安全なパスワードの条件を解説します。
パスワード強度とは? なぜ桁数と文字種が重要なのか
パスワード強度とは、第三者による不正な解読に対する耐性のことです。強度を決める要素は主に2つあります。
- 桁数(長さ): 1桁増えるごとに、総当たりで試す組み合わせ数が数十〜数百倍に増加
- 文字種(複雑さ): 使う文字の種類が増えるほど、1桁あたりの候補数が増加
たとえば数字のみ(10種)の4桁パスワードは1万通りですが、英大小文字+数字+記号(95種)の4桁なら約8,100万通りになります。桁数と文字種の組み合わせがパスワードの安全性を大きく左右します。
【早見表】桁数×文字種別のパスワード解読時間
以下の早見表は、セキュリティ企業Hive Systemsが2025年に公開した最新データです。12台のNVIDIA RTX 5090 GPUを使い、bcryptハッシュ(コストファクター10)に対する総当たり攻撃にかかる時間を示しています。
数字のみ(0〜9:10種)
| 桁数 | 解読時間 | 安全性 |
|---|---|---|
| 4桁 | 即座 | 危険 |
| 6桁 | 即座 | 危険 |
| 8桁 | 15分 | 危険 |
| 10桁 | 1日 | 危険 |
| 12桁 | 9年 | やや不安 |
| 14桁 | 9万年 | 安全 |
| 16桁 | 9億年 | 非常に安全 |
英小文字のみ(a〜z:26種)
| 桁数 | 解読時間 | 安全性 |
|---|---|---|
| 4桁 | 即座 | 危険 |
| 6桁 | 5時間 | 危険 |
| 8桁 | 3週間 | 危険 |
| 10桁 | 49年 | やや不安 |
| 12桁 | 3万3千年 | 安全 |
| 14桁 | 2,200万年 | 非常に安全 |
英大小文字+数字(a〜z, A〜Z, 0〜9:62種)
| 桁数 | 解読時間 | 安全性 |
|---|---|---|
| 4桁 | 即座 | 危険 |
| 6桁 | 14日 | 危険 |
| 8桁 | 62年 | やや不安 |
| 10桁 | 24万年 | 安全 |
| 12桁 | 9億年 | 非常に安全 |
英大小文字+数字+記号(95種:全文字種)
| 桁数 | 解読時間 | 安全性 |
|---|---|---|
| 4桁 | 即座 | 危険 |
| 6桁 | 14日 | 危険 |
| 8桁 | 164年 | やや不安 |
| 10桁 | 80万年 | 安全 |
| 12桁 | 72億年 | 非常に安全 |
| 14桁 | 560兆年 | 非常に安全 |
| 16桁 | 4,390京年 | 非常に安全 |
早見表の読み方と注意点
この早見表はbcryptハッシュに対するオフラインの総当たり攻撃を想定しています。以下の点に注意してください。
- 実際のリスクはサービスの実装に依存: ログイン試行回数の制限やアカウントロック機能があれば、オンラインでの総当たり攻撃は事実上不可能
- 弱いハッシュアルゴリズム(MD5等)を使っているサービスでは、解読時間が大幅に短くなる
- GPU性能は年々向上: 2024年(RTX 4090)から2025年(RTX 5090)で解読速度は約2倍に高速化。今後もこの傾向は続く
パスワードが破られる仕組み
ブルートフォース攻撃(総当たり攻撃)
すべての文字の組み合わせを1つずつ試していく方法です。上の早見表はこの攻撃にかかる時間を示しています。桁数と文字種が多いほど、試行回数が指数関数的に増えるため時間がかかります。
辞書攻撃・リスト型攻撃
よく使われるパスワード(「password123」「qwerty」など)のリストを使って照合する方法です。過去に流出したパスワードデータベースも利用されます。
どれだけ長くても「password」や「123456789」のような推測しやすいパスワードは一瞬で破られます。 早見表の解読時間は、ランダムな文字列であることが前提です。
NISTの最新パスワードガイドライン
米国国立標準技術研究所(NIST)が発行するSP 800-63Bは、世界のパスワードポリシーに大きな影響を与える基準です。2024〜2025年に公開されたRevision 4では、従来の常識が大きく変わりました。
「定期変更は不要」の根拠
NISTはパスワードの定期変更を禁止しました(漏洩が確認された場合を除く)。理由は以下の通りです。
- 定期変更を強制すると、ユーザーは末尾の数字を変えるだけの安易な変更をしがち
- 結果として、パスワードの予測可能性が高まり、セキュリティが低下する
- 漏洩がなければ、強いパスワードを長く使い続けるほうが安全
長さ>複雑さ — 15文字以上を推奨
NISTの新ガイドラインでは、文字種の複雑さルール(大文字必須・記号必須など)を課してはならないと明記されています。代わりに重視するのは長さです。
| 項目 | 新ガイドライン |
|---|---|
| 最低文字数 | 15文字以上を推奨 |
| 最大文字数 | 64文字以上を許可すべき |
| 複雑さルール | 課してはならない |
| 定期変更 | 漏洩時のみ |
| 漏洩チェック | 必須(ブロックリストとの照合) |
| パスワード貼り付け | 許可すべき(マネージャー対応) |
安全なパスワードの作り方
パスフレーズ方式
複数の単語を組み合わせて長いパスワードを作る方法です。覚えやすく、かつ十分な長さを確保できます。
作り方の例:
- 日本語のフレーズを考える:「春の桜は美しい」
- ローマ字に変換:
harunosakurawautsukushii(23文字) - 一部を数字や記号に置き換え:
Haru-no-Sakura-wa-Utsukushii!(29文字)
このように作ったパスワードは20文字以上になりやすく、全文字種の12桁を大幅に上回る強度が得られます。
パスワード生成ツールを使う
最も確実な方法は、パスワード生成ツールでランダムな文字列を作ることです。人間が考えたパスワードにはどうしても偏りが生まれるため、ツールで生成したほうが安全です。
生成したパスワードはパスワードマネージャーに保存し、サービスごとに異なるパスワードを使い分けましょう。
よくある質問
パスワードは何桁あれば安全ですか?
英大小文字+数字+記号を組み合わせた12桁以上が現在の推奨ラインです。NISTの最新ガイドラインでは15文字以上が推奨されています。
8桁のパスワードは危険ですか?
文字種によります。数字のみの8桁は15分で解読可能です。英大小文字+数字+記号の8桁でも、最新GPUなら164年ですが、AI技術の進歩を考えると12桁以上への変更をおすすめします。
パスワードは定期的に変更すべきですか?
NISTの最新ガイドライン(SP 800-63B Rev.4)では、定期的な変更は不要とされています。漏洩が確認された場合のみ変更すれば十分です。
安全なパスワードを簡単に作る方法は?
パスワード生成ツールを使うのが最も確実です。自分で作る場合は、日本語のフレーズをローマ字に変換するパスフレーズ方式がおすすめです。
パスワードマネージャーは使うべきですか?
はい。長く複雑なパスワードをサービスごとに使い分けるには、パスワードマネージャーが最も現実的な方法です。NISTも推奨しています。
まとめ
- 数字のみ8桁は15分で解読可能 — 数字だけのパスワードは桁数を増やしても危険
- 全文字種(英大小文字+数字+記号)の12桁以上が現在の安全ライン
- NISTは15文字以上を推奨し、定期変更は不要(漏洩時のみ)
- 文字種の複雑さルールより長さが重要
- パスフレーズ方式かパスワード生成ツールで安全なパスワードを作ろう
パスワードの安全性が気になったら、まずは現在使っているパスワードの桁数と文字種を確認してみてください。12桁未満のパスワードがあれば、この機会に変更することをおすすめします。