パスワードポリシー
パスワードポリシー とは何ですか?
パスワードポリシーユーザーパスワードの生成、保存、更新、検証に関するルールを文書化したもので、セキュリティと利便性のバランスを取るために定められる。
パスワードポリシーは、最小長、許容文字、漏えいパスワードリストとの照合、有効期限、ロックアウト閾値など、ユーザーが選ぶ秘密情報に対する要件を規定します。NIST SP 800-63B(第 3 版および第 4 版ドラフト)などの最新ガイダンスは、強制的な定期変更や複雑な文字種ルールが予測しやすいパスワードを生む実証研究をふまえ、これらを推奨から外しました。現在の基準は、一般アカウントで 8 文字以上、特権アカウントで 15 文字以上、Have I Been Pwned 等の漏えいリストとの照合、漏えいの証拠がない限り強制ローテーションを行わないことです。有効なポリシーは、長さに加えて MFA、パスワードマネージャー、レート制限を組み合わせます。
● 例
- 01
Active Directory のきめ細かなパスワードポリシーで、Domain Admins に 14 文字と HIBP 照合を要求する例。
- 02
Pwned Passwords API に登録された任意のパスワードを拒否する SaaS 登録フロー。
● よくある質問
パスワードポリシー とは何ですか?
ユーザーパスワードの生成、保存、更新、検証に関するルールを文書化したもので、セキュリティと利便性のバランスを取るために定められる。 サイバーセキュリティの ID とアクセス カテゴリに属します。
パスワードポリシー とはどういう意味ですか?
ユーザーパスワードの生成、保存、更新、検証に関するルールを文書化したもので、セキュリティと利便性のバランスを取るために定められる。
パスワードポリシー からどのように防御しますか?
パスワードポリシー に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
パスワードポリシー の別名は何ですか?
一般的な別名: パスワード規程, 資格情報ポリシー。