パスワードジェネレーターは、目的に合った適切な「シークレット（認証情報）」を選んでこそ役立ちます。多くの人がここでつまずいてしまいます。より強力なものが必要だと分かっていても、ランダムなパスワード、覚えやすいパスフレーズ、数字のPINのどれを生成すべきか迷ってしまうのです。

最適な選択をする最も簡単な方法は、「何が最強か」という抽象的な問いをやめることです。代わりに、「ログインの状況（コンテキスト）にどれが適しているか」を考えてください。ウェブサイトのアカウント、日常的なモバイルログイン、ローカルデバイスのロック解除では、それぞれ生じるリスクの種類が異なります。

すぐに選びたい場合は、 ホームページのランダムパスワードモード がほとんどのアカウントログインにおいて最適なデフォルト設定です。一方、 覚えやすいパスフレーズモード や ホームページのPINジェネレーター は、より限定的なケースに適しています。重要なのは、それぞれがどこに適しているかを知ることです。

なぜ1つのジェネレーターモードですべてのログインに対応できないのか

強力なログイン用シークレットは、単なる複雑さだけではありません。どこで使用し、どの程度の頻度で入力する必要があるかも重要です。また、パスワードマネージャーを使用するかどうか、そしてそのシークレットがリモートアカウントを保護するものか、あるいは単にローカルデバイスのロックを解除するものかによっても異なります。

そのため、当サイトでは1つではなく3つのモードを提供しています。「ランダム」、「覚えやすい」、「PIN」という選択肢は、単なる見た目の違いではありません。これらは、異なる摩擦（使いにくさ）を解決しつつ、「使い古された弱い認証情報を再利用するのではなく、ユニークなものを生成する」という共通の目標を実現するためのものです。

ランダムなパスワードが最強のデフォルトである理由

マネージャーに保存するアカウントログインに最適

ほとんどのウェブサイトやアプリのアカウントでは、ランダムなパスワードが依然として最強のデフォルトです。予測が困難で、ユニークなものを簡単に作成でき、適切に保存すれば記憶に頼る必要もありません。

これは現在の標準に合致しています。NIST SP 800-63Bでは、シングルファクタ認証のシークレットとして使用されるパスワードは15文字以上であるべきだとされています。ジェネレーターが保存されたログインに非常に役立つ理由の1つは、手動で作成することなく、長くユニークな文字列を簡単に生成できる点にあります。

ランダムな文字列が価値よりも摩擦を生む場合

ランダムな文字列は、スマートフォン、タブレット、テレビのリモコンなど、入力しにくい環境で頻繁に入力しなければならない場合、利便性が低下します。そのようなケースでは、理論上は最強の文字列であっても、結果としてユーザーがメモに平文で保存したり、使いやすいパスワードを使い回したりするという安全ではない行動を助長してしまう可能性があります。

だからといって、ランダムなパスワードが間違っているわけではありません。パスワードマネージャーや、安全に保存・自動入力できる他の方法と組み合わせて使用する場合に、最も効果を発揮するということです。

覚えやすいパスフレーズがより良い妥協案となる場合

頻繁に入力する必要があるログインに最適

覚えやすいパスフレーズは、定期的に入力する必要があり、常に自動入力に頼れるわけではない場合、より良い妥協案となります。無関係な単語を組み合わせた長いフレーズは、多くの場合入力しやすく、不適切な場所に書き留めてしまう誘惑も少なくなります。

NISTも、この点において、より長く柔軟なシークレットを推奨しています。同じNISTのガイドラインでは、検証者はすべての印字可能なASCII文字とスペース文字を受け入れるべきだとされています。また、少なくとも64文字以上の最大長を許可することも求めています。これにより、ユーザーに短くて覚えにくい文字列を強制するのではなく、長いパスフレーズを使用する余地が生まれます。

パスフレーズでも追加の注意が必要な場合

パスフレーズは、単語を使用しているという理由だけで自動的に強力になるわけではありません。十分な長さがあり、一般的すぎず、そのアカウント専用のものである必要があります。有名な引用句、歌詞、または他の場所で既に使用しているフレーズは、真に新しいシークレットの代わりにはなりません。

ここで、当サイトの「覚えやすい（Memorable）」モードが役立ちます。個人的なパターンや使い回しのフレーズ、予測可能な代入に頼ることなく、覚えやすいものを生成する方法を提供します。

PINがウェブサイトではなくデバイスに適している理由

ローカルデバイスのロック解除の文脈で役立つ

数字のPINは、試行回数制限のあるスマートフォンやタブレットなどの、ローカルでのロック解除の文脈に適しています。これは、オンラインアカウントのメインパスワードとして短い数字のシークレットを使用することとは大きく異なります。

NISTはその境界線を明確に引いています。アクティベーションシークレットに関するガイドラインにおいて、NISTは、ローカルデバイスのPINのようなシークレットは4文字以上であるべきだとしています。また、6文字以上であることも推奨しています。これはデバイスロックの考え方における有用なベンチマークであり、アカウントのパスワードを短いPINに置き換える理由にはなりません。

PINが強力なアカウントパスワードの代わりになってはならない理由

ウェブサイトのパスワードは通常、クレデンシャルスタッフィング、パスワード再利用攻撃、大規模な情報漏洩の影響を受けやすいリモートアカウントを保護するものです。短い数字のPINは、そのような状況において、完全なパスワードやパスフレーズよりも推測がはるかに容易であり、柔軟性も劣ります。

そのため、当サイトのPINモードは、万能な解決策ではなく、特定のオプションとして扱うべきです。特定のローカルロック解除のニーズには適していますが、メール、仕事用ツール、銀行、その他の高価値なログインに対する強力なアカウントシークレットの代わりにはなりません。

ホームページで適切なモードを素早く選ぶ方法

「生成」をクリックする前に、ログインタイプにモードを合わせる

簡単な決定ルールがあります。シークレットが通常のオンラインアカウント用で、マネージャーに保存する場合は「ランダム」を選択してください。頻繁に入力する必要があり、人間にとって使いやすいものが必要な場合は「覚えやすい」を選択してください。ローカルデバイスのロック解除の文脈であれば、「PIN」を選択してください。

これにより、不用意にならずに判断をシンプルに保つことができます。お気に入りの形式を選ぶのではなく、その作業に対して最もリスクの低い形式を選ぶのです。

コピーし、保存し、短期的な再利用を避ける

生成は最初のステップに過ぎません。その後の保存習慣や再利用習慣が同じくらい重要です。パスワードが強力であっても、複数のサイトで使い回されていれば、一度の漏洩で被害が拡大する可能性があります。

FTC（連邦取引委員会）のパスワードガイドラインでは、パスワードの再利用がサイトの侵害時に複数のアカウントを危険にさらす可能性があるため、各アカウントに長くユニークなパスワードを使用することを推奨しています。そのため、最も安全なワークフローは、単に生成してコピーするだけでなく、生成し、正しく保存し、新しいシークレットで次のアカウントへ移行することです。

新しいシークレットを生成する前に次にすべきこと

まずはログインの状況（コンテキスト）を明確にしましょう。これはリモートアカウントですか？頻繁に入力するログインですか？それともローカルデバイスのロック解除ですか？その答えが明確になれば、適切なモードは通常明らかになります。

次に、1回生成し、慎重にコピーして、正しい場所に保存してください。目標は、威圧的な文字列を作ることではありません。リスクに対して十分な強度を持ち、後で使いにくさに悩まされない程度に使いやすいシークレットを作成することです。

それこそが、「ランダム」、「覚えやすい」、「PIN」の3つを1か所で利用できる真の利点です。あらゆるセキュリティ状況に1つの形式を無理やり当てはめるのではなく、ジェネレーターモードを問題に合わせることができるのです。