パスワード強度チェック

Dropbox 開発の zxcvbn で強度判定。辞書攻撃・キーボード並び・連続文字を検出します。完全ブラウザ内処理 (パスワードはサーバーに送信されません)。

パスワード

推測されやすい関連語 (任意)これらの語を含むパスワードは強度が下がる判定になります

パスワードを入力すると強度判定が表示されます。

解読時間の根拠

判定エンジン: Dropbox 製の zxcvbn。USENIX 2016 で発表された論文「zxcvbn: Low-Budget Password Strength Estimation」がベース。日本語辞書も内蔵。

解読時間の前提:

オンライン (制限あり) — 100 回/時: 連続失敗でロックがかかる一般的な Web ログインを想定
オンライン (制限なし) — 10 回/秒: レート制限のない API・古いシステムを想定
オフライン (低速) — 10⁴ 回/秒: bcrypt/scrypt/PBKDF2 のような 意図的に遅い ハッシュアルゴリズムを使うサービスのハッシュ DB が流出した場合
オフライン (高速) — 10¹⁰ 回/秒: SHA-256/MD5/SHA-1 のような速いハッシュ + 高性能 GPU 並列。最新 RTX 4090 + 8 台クラスタ規模を想定

注意: zxcvbn は推測抵抗性 (entropy 風の値) のみを評価します。サービス側のセキュリティ実装 (ハッシュアルゴリズム・MFA の有無・流出対策) は別軸の問題で、強いパスワードでもサーバー側が脆弱なら無力です。

プライバシー: すべてブラウザ内処理。zxcvbn は WebAssembly や外部 API を使わない純粋な JavaScript ライブラリで、入力したパスワードがサーバーや外部に送信されることは一切ありません。