Password Policy Generator

ID・乱数・時刻系の値をブラウザ内で生成/検査します。入力はサーバーへ送信しません。仕様適合の一次確認に使えます。

状態

ブラウザ内で処理します。入力はサーバーへ送信しません。まずはここで一次切り分けしてください。

使い方

最小長と文字種を設定して「生成」。組織ルールに合わせて禁止文字を調整し、出力を方針文書のたたき台として使います。

注意(このツール)

  • 簡易生成です。最終的な要件は組織のセキュリティ方針を優先してください。
  • 利用環境で使えない文字や入力制限がある場合は、許可文字セットを先に確認してください。

このページについて

何をするツール?

最小長/文字種/禁止文字などの要件を入力すると、ポリシー文とバリデーション用正規表現を作成します。

新規プロジェクトの初期方針や、既存要件の棚卸しを短時間で進める用途に向いています。

推奨(実務)

  • 複雑さ偏重より「十分な長さ」と「漏えいパスワード拒否」を優先する
  • 定期強制変更を前提にせず、漏えい・侵害兆候時の変更フローを整備する
  • MFA とセットで運用し、単一要素に依存しない

このツールでできること

  • ポリシー文のテンプレ出力
  • バリデーション用正規表現の生成
  • 禁止文字の反映

注意点

  • 正規表現は形式チェック用です。強度判定・漏えい判定・保存方式の安全性は別に設計が必要です。
  • 保存時は平文を避け、Argon2id や bcrypt などの実運用向け方式を使ってください。

切り分け手順(おすすめ)

  • 値を生成または貼り付ける
  • 形式・時刻・文字種制約を確認する
  • 利用先のバリデーション条件で最終確認する

参照仕様

  • NIST SP 800-63B(Digital Identity Guidelines)
  • OWASP Authentication Cheat Sheet
  • RFC 9106(Argon2)

FAQ

複雑さ要件は強いほど安全ですか?

必ずしもそうではありません。十分な長さと漏えいパスワード拒否の方が実効性が高いことが多いです。

正規表現だけで運用してよいですか?

不十分です。保存方式、試行制限、MFA、監査ログもセットで設計してください。

参考リンク

  1. NIST SP 800-63B
  2. OWASP Authentication Cheat Sheet
  3. RFC 9106

site_map ルールに基づいて、次に確認すべきページを表示しています。

  1. Token Format Checker — 文字列からJWT/UUID/Hex/Base64URL候補を推定
  2. Cookie Security Audit — Secure/HttpOnly/SameSite を監査
  3. URL Safe Random — URL/ファイル名に使える安全文字の乱数文字列を生成
  4. パスワードシード生成 — シードと条件から再現可能なパスワードを導出