パスワードポリシー
パスワードポリシー とは何ですか?
パスワードポリシーユーザーパスワードの生成、保存、更新、検証に関するルールを文書化したもので、セキュリティと利便性のバランスを取るために定められる。
パスワードポリシーは、最小長、許容文字、漏えいパスワードリストとの照合、有効期限、ロックアウト閾値など、ユーザーが選ぶ秘密情報に対する要件を規定します。NIST SP 800-63B(第 3 版および第 4 版ドラフト)などの最新ガイダンスは、強制的な定期変更や複雑な文字種ルールが予測しやすいパスワードを生む実証研究をふまえ、これらを推奨から外しました。現在の基準は、一般アカウントで 8 文字以上、特権アカウントで 15 文字以上、Have I Been Pwned 等の漏えいリストとの照合、漏えいの証拠がない限り強制ローテーションを行わないことです。有効なポリシーは、長さに加えて MFA、パスワードマネージャー、レート制限を組み合わせます。
● 例
- 01
Active Directory のきめ細かなパスワードポリシーで、Domain Admins に 14 文字と HIBP 照合を要求する例。
- 02
Pwned Passwords API に登録された任意のパスワードを拒否する SaaS 登録フロー。
● よくある質問
パスワードポリシー とは何ですか?
ユーザーパスワードの生成、保存、更新、検証に関するルールを文書化したもので、セキュリティと利便性のバランスを取るために定められる。 サイバーセキュリティの ID とアクセス カテゴリに属します。
パスワードポリシー とはどういう意味ですか?
ユーザーパスワードの生成、保存、更新、検証に関するルールを文書化したもので、セキュリティと利便性のバランスを取るために定められる。
パスワードポリシー はどのように機能しますか?
パスワードポリシーは、最小長、許容文字、漏えいパスワードリストとの照合、有効期限、ロックアウト閾値など、ユーザーが選ぶ秘密情報に対する要件を規定します。NIST SP 800-63B(第 3 版および第 4 版ドラフト)などの最新ガイダンスは、強制的な定期変更や複雑な文字種ルールが予測しやすいパスワードを生む実証研究をふまえ、これらを推奨から外しました。現在の基準は、一般アカウントで 8 文字以上、特権アカウントで 15 文字以上、Have I Been Pwned 等の漏えいリストとの照合、漏えいの証拠がない限り強制ローテーションを行わないことです。有効なポリシーは、長さに加えて MFA、パスワードマネージャー、レート制限を組み合わせます。
パスワードポリシー からどのように防御しますか?
パスワードポリシー に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
パスワードポリシー の別名は何ですか?
一般的な別名: パスワード規程, 資格情報ポリシー。
● 関連用語
- identity-access№ 795
パスワード
利用者がシステムに対して身元を証明するために提示する秘密の文字列。伝統的に単一要素認証の主流。
- identity-access№ 796
パスワードエントロピー
パスワードの予測しにくさをビット単位で表す指標で、エントロピーが高いほど攻撃者に必要な試行回数が多くなる。
- identity-access№ 884
漏えいパスワード (Pwned Password)
既知の情報漏えいに含まれていたパスワード。Troy Hunt 氏の Have I Been Pwned により公開されており、ユーザーの秘密として使用してはならない。
- identity-access№ 797
パスワードマネージャー
強力かつ一意な資格情報を生成・保管・自動入力するアプリケーション。マスターパスフレーズで保護され、近年は passkey との併用も進んでいる。
- identity-access№ 708
多要素認証 (MFA)
アクセスを許可する前に、通常は異なるカテゴリに属する 2 つ以上の独立した要素を要求する認証方式。
- identity-access№ 009
アカウントロックアウト
連続失敗回数が設定された閾値を超えた場合に、ログイン試行を一時的または恒久的にブロックし、オンラインでのパスワード推測攻撃を遅延させる制御。
● 関連項目
- № 592知識要素 (あなたが知っているもの)