トップ   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

パスワード認証に関する要求事項(推奨) のバックアップ(No.5)


・パスワードについて?

本項は、パスワード認証を実装する際の要求事項と、認証に関する留意事項を解説します。

パスワード認証を実装する際の要求事項

今後、構築されるアプリケーションのパスワードの要件として以下を推奨します。なお、必要に応じてテラーリングを認めますが、強度が低くなるテラーリングをする際は、その理由を明確にして文書化し、ユーザーとベンダーで共有し合意してください。なお、Windows認証を利用する際は、Windows認証を利用する場合を参照してください。

長さ

  • 8文字以上の設定を要求し、パスワードの切り捨てをせず64文字以上の設定を許可する
  • パスワードの切り捨てはしない
  • パスワード評価を実装しない場合、14桁以上を求める

定期変更

  • 要求しない

複雑さ

  • 以下の例外を除き要求しない
  • IDから個人を特定できる場合
    個人を特定されることで生年月日や電話番号が推測可能となり強度が著しく低下するため、英数文字などを要求する

パスワードの評価

使用を拒否する文字列

  • IDや氏名が含まれる場合は拒否する
  • 特定の文字列の繰り返し 12341234などは拒否する
  • 連続した文字列 qwertyuiop 11111111などは拒否する
  • 評価に違反した場合は、理由と改善方法をユーザーに通知する

アカウントロックアウト

  • 連続失敗回数 3-5回
  • ロックアウト期間 15分以上 もしくは経路外認証によるパスワード変更

パスフレーズを推奨する表示

  • 20桁を超えるパスフレーズを推奨する旨の表示を実装する

漏洩のチェック

  • 漏洩が発覚した際は即時に変更を求める

重要資産へのアクセス

  • 多要素認証もしくはリスクベース認証を強く推奨する

初回アクセス時のパスワード変更要求

システム発行のパスワードでの初回アクセス時は、必ずパスワードの変更を求める

パスワードの変更

ユーザーがパスワードを変更する場合は、現在のパスワードを要求する。 ユーザーがパスワードを忘れた場合、スマートフォンの Authenticator や SMS、電子メールなどの経路外認証を要求する。 なお、経路外でSMS、電子メールを使用する場合、秘密シークレットは送信しない。

ID

使用を拒否する文字列

root、sa、administrator、admin、adm、ブランド名が含まれる場合は拒否する