情報システム開発契約のセキュリティ仕様作成のためのガイドライン
パスワードの要件と課題
をテンプレートにして作成
開始行:
[[・電子認証について]]
パスワードに関する現在の要件と課題を理解するために、「NIS...
*NIST SP800-63-3の記憶シークレット(パスワード)の要求事...
注:SP800-63BではパスワードやPINを「記憶シークレット」と...
一般的にはパスワードや、数字ならばPINとして表されているも...
-ユーザーが指定する場合、最低8文字以上を要求する (SHALL)
-パスワードの設定、変更を処理する際、一般的に利用されてい...
-過去にセキュリティ侵害にあったパスワードリスト
-辞書に含まれる言葉
-サービス名や、ユーザー名、そこから派生するようなものなど...
-パスワードがこれらに該当したらユーザーは異なるパスワード...
-アカウント乗っ取りのために試みた認証失敗の回数を制限する...
-パスワードが侵害されている、もしくはユーザーの変更要求が...
-パスワード入力時にペースト機能を利用できることを許可すべ...
>「SHALL(するものとする)」及び「SHALL NOT(しないものと...
>「SHOULD(すべきである」」及び「SHOULD NOT(すべきではな...
>「MAY(してもよい)」及び「NEED NOT(しなくてよい)」は...
>「CAN(できる)」及び「CANNOT(できない)」は、可能性や...
*パスワードの課題 [#edd8c0b1]
本項では、NIST SP800-63Bが要求事項改訂に至ったとする課題...
**長さについて [#i63591c2]
NISTとカーネギーメロン大学の研究 で、5,000人の参加者に、...
**複雑さの課題 [#q4b97d88]
複雑さとは、以下の複数の文字種の使用を条件とするもので、...
-英大文字
-英小文字
-数字
-記号(特殊文字)
複雑さは攻撃の困難性を高める有効な手段として考えられてい...
>最初のパスワード password
>大文字、小文字、数字の要求 Password1
>大文字、小文字、数字、記号の要求 Password1!
また、長さが8桁で大文字、小文字、数字、記号のすべての使用...
**定期変更の課題 [#oeab1a87]
パスワードの定期変更を求めると、多くのユーザーにおいてパ...
安易な、つまり攻撃者にとって類推可能なパスワードを増やす...
なお、パスワードに有効期限を設けて定期的に変更を強制する...
**パスワードの使い回しの課題 [#x4562e07]
パスワードの使い回しは危険だという指摘は多数ありますが、...
SP800-63Bではそれを防止させるため、SP800-63B ではパスワー...
**長いパスワードを実装する場合 [#b495c08e]
パスワードの組み合わせは、以下の式で得られます。&br;
組み合わせ数=bSUP{SIZE(8){2}};n&br;
ここで、b は利用可能な文字種であり、標準的な101キーボード...
***桁数組み合わせ数 [#v48e4248]
|RIGHT:|RIGHT:|c
|COLOR(WHITE):BGCOLOR(#44546A):CENTER:桁数|COLOR(WHITE):B...
|1|95|
|2|9,025|
|3|857,375|
|4|81,450,625|
|5|7,737,809,375|
|6|735,091,890,625|
|7|69,833,729,609,375|
|8|6,634,204,312,890,620|
|9|630,249,409,724,609,000|
|10|59,873,693,923,837,900,000|
|12|540,360,087,662,637,000,000,000|
|14|4,876,749,791,155,300,000,000,000,000|
|16|44,012,666,865,176,600,000,000,000,000,000|
|18|397,214,318,458,219,000,000,000,000,000,000,000|
|20|3,584,859,224,085,420,000,000,000,000,000,000,000,000|
&br;
但し、ユーザーに長いパスワードを求めると次のような弊害が...
-文字列の繰り返し 12341234、monkeymo...
-連続した文字列やキーボード配列の利用 111111111、qwerty...
繰り返しや連続した文字列は、機械的に攻撃用の辞書データを...
終了行:
[[・電子認証について]]
パスワードに関する現在の要件と課題を理解するために、「NIS...
*NIST SP800-63-3の記憶シークレット(パスワード)の要求事...
注:SP800-63BではパスワードやPINを「記憶シークレット」と...
一般的にはパスワードや、数字ならばPINとして表されているも...
-ユーザーが指定する場合、最低8文字以上を要求する (SHALL)
-パスワードの設定、変更を処理する際、一般的に利用されてい...
-過去にセキュリティ侵害にあったパスワードリスト
-辞書に含まれる言葉
-サービス名や、ユーザー名、そこから派生するようなものなど...
-パスワードがこれらに該当したらユーザーは異なるパスワード...
-アカウント乗っ取りのために試みた認証失敗の回数を制限する...
-パスワードが侵害されている、もしくはユーザーの変更要求が...
-パスワード入力時にペースト機能を利用できることを許可すべ...
>「SHALL(するものとする)」及び「SHALL NOT(しないものと...
>「SHOULD(すべきである」」及び「SHOULD NOT(すべきではな...
>「MAY(してもよい)」及び「NEED NOT(しなくてよい)」は...
>「CAN(できる)」及び「CANNOT(できない)」は、可能性や...
*パスワードの課題 [#edd8c0b1]
本項では、NIST SP800-63Bが要求事項改訂に至ったとする課題...
**長さについて [#i63591c2]
NISTとカーネギーメロン大学の研究 で、5,000人の参加者に、...
**複雑さの課題 [#q4b97d88]
複雑さとは、以下の複数の文字種の使用を条件とするもので、...
-英大文字
-英小文字
-数字
-記号(特殊文字)
複雑さは攻撃の困難性を高める有効な手段として考えられてい...
>最初のパスワード password
>大文字、小文字、数字の要求 Password1
>大文字、小文字、数字、記号の要求 Password1!
また、長さが8桁で大文字、小文字、数字、記号のすべての使用...
**定期変更の課題 [#oeab1a87]
パスワードの定期変更を求めると、多くのユーザーにおいてパ...
安易な、つまり攻撃者にとって類推可能なパスワードを増やす...
なお、パスワードに有効期限を設けて定期的に変更を強制する...
**パスワードの使い回しの課題 [#x4562e07]
パスワードの使い回しは危険だという指摘は多数ありますが、...
SP800-63Bではそれを防止させるため、SP800-63B ではパスワー...
**長いパスワードを実装する場合 [#b495c08e]
パスワードの組み合わせは、以下の式で得られます。&br;
組み合わせ数=bSUP{SIZE(8){2}};n&br;
ここで、b は利用可能な文字種であり、標準的な101キーボード...
***桁数組み合わせ数 [#v48e4248]
|RIGHT:|RIGHT:|c
|COLOR(WHITE):BGCOLOR(#44546A):CENTER:桁数|COLOR(WHITE):B...
|1|95|
|2|9,025|
|3|857,375|
|4|81,450,625|
|5|7,737,809,375|
|6|735,091,890,625|
|7|69,833,729,609,375|
|8|6,634,204,312,890,620|
|9|630,249,409,724,609,000|
|10|59,873,693,923,837,900,000|
|12|540,360,087,662,637,000,000,000|
|14|4,876,749,791,155,300,000,000,000,000|
|16|44,012,666,865,176,600,000,000,000,000,000|
|18|397,214,318,458,219,000,000,000,000,000,000,000|
|20|3,584,859,224,085,420,000,000,000,000,000,000,000,000|
&br;
但し、ユーザーに長いパスワードを求めると次のような弊害が...
-文字列の繰り返し 12341234、monkeymo...
-連続した文字列やキーボード配列の利用 111111111、qwerty...
繰り返しや連続した文字列は、機械的に攻撃用の辞書データを...
ページ名:
