情報システム開発契約のセキュリティ仕様作成のためのガイドライン
パスワード認証に関する要求事項(推奨)
をテンプレートにして作成
開始行:
[[・電子認証について]]
本項は、パスワード認証を実装する際の要求事項と、認証に関...
*パスワード認証を実装する際の要求事項 [#ze324515]
今後、構築されるアプリケーションのパスワードの要件として...
また、テーラリングの際は、[[「脅威からAuthenticator を守...
*長さと評価 [#g039c104]
長いパスフレーズが推奨されるが、推測容易なパスフレーズは...
-長さ
--8文字以上の設定を要求し、パスワードの切り捨てをせず64文...
--パスワードの切り捨てはしない
--パスワード評価を実装しない場合、14桁以上を求める
-推測が容易な文字列かの評価
--使用を拒否する文字列:
---IDが含まれる場合は拒否する
---特定の文字列の繰り返し “12341234”、“monkeymonkey” など...
---キーボード配列や連続した文字列 “qwertyuiop”、“11111111...
---人名、地名、組織名、組織内で使用される略称、ブランド名...
--評価に違反した場合は、理由と改善方法をユーザーに通知する
*定期変更 [#u4e09b9f]
-パスワードの侵害をチェックしている場合は要求しない
-パスワードの侵害をチェックしていない場合は要求する
*アカウントロックアウト [#jdb2c906]
-連続失敗回数 3-5回
-ロックアウト期間 15分以上 もしくは経路外認証によるパスワ...
*パスフレーズの推奨と注意喚起の表示 [#vbd5df61]
-20桁を超えるパスフレーズを推奨する旨の表示を実装する
-推測容易なフレーズを使用しない旨の表示を実装する
--例:長いパスフレーズはなりすましを防ぐ有効な手段です。~
但し、姓名、生年月日など個人情報の使用や、第三者から推測...
地名や家族などの情報などの文字列を含まないようにご注意く...
*漏洩のチェック [#i313168a]
-漏洩が発覚した際は即時に変更を求める
*重要資産へのアクセス [#p2ffcf9b]
-多要素認証もしくはリスクベース認証を強く推奨する
*初回アクセス時のパスワード変更要求 [#eed20b58]
-システム発行のパスワードでの初回アクセス時は、必ずパスワ...
*パスワードの変更 [#v525d31c]
-ユーザーがパスワードを変更する場合は、現在のパスワードを...
-ユーザーがパスワードを忘れた場合、スマートフォンの Authe...
*IDの評価 [#ub59ee6a]
-使用を拒否する文字列
--root、sa、administrator、admin、adm、推測容易と思われる...
*パスフレーズの注意点 [#u229a7dc]
長いパスフレーズは、オンラインでの総当たり攻撃に対して有...
-watashino hahano kyuuseiha tanakadesu 私の 母の 旧姓は ...
-chichino shusshinnha nagano desu 父の 出身は 長野 です
-aneno namaeha yuka desu 姉の 名前は 由香 です
*Windows認証を利用する場合 [#b1751c60]
Windows の実装はNIST SP800-63-3よりも古いため、パスワー...
**背景と考え方 [#pb073070]
Active Directory の [複雑さの要件を満たす必要があるパスワ...
一方で、パスワードの長さを8桁かつ複雑さを要求した場合は、...
多要素認証の導入した場合は、これらの複雑かつ長いパスワー...
**Windows グループポリシーでの設定 [#j63846a6]
Windows のグループポリシー [コンピューターの構成]>[ポリシ...
-Windows Hello やハードウェアトークンなどの多要素認証を導...
--PIN を使用する場合、6桁以上とする
--PIN の定期変更、履歴、複雑性は求めない、但し、個人から...
--アカウントロックアウト期間は15分以上、もしくは管理者に...
-多要素認証を導入しない場合の [パスワードのポリシー]
--[パスワードの長さ] は14桁以上を推奨する
--[複雑さの要件を満たす必要があるパスワード] を有効にする...
--ユーザーのアカウント名またはフル ネームに含まれる 3 文...
--複雑性は長さ 6 文字以上で適用される。
--次の 4 つのカテゴリのうち 3 つから文字を使う。
---英大文字 (A から Z)
---英小文字 (a から z)
---10 進数の数字 (0 から 9)
---アルファベット以外の文字 (!、$、#、% など)
--定期的なセキュリティログ監査もしくはパスワードの漏洩・...
---ログ監査の対象 セキュリティログ
Event ID:4625(アカウントがログオンに失敗しました)~
Event ID:4776(資格情報の確認)
-多要素を導入する場合の [アカウント ロックアウトのポリシ...
--[アカウントのロックアウトのしきい値] を[5回ログオンに失...
--[ロックアウト カウンターのリセット] を [15分後] とする
--[ロックアウト 期間] を [15分] とする
終了行:
[[・電子認証について]]
本項は、パスワード認証を実装する際の要求事項と、認証に関...
*パスワード認証を実装する際の要求事項 [#ze324515]
今後、構築されるアプリケーションのパスワードの要件として...
また、テーラリングの際は、[[「脅威からAuthenticator を守...
*長さと評価 [#g039c104]
長いパスフレーズが推奨されるが、推測容易なパスフレーズは...
-長さ
--8文字以上の設定を要求し、パスワードの切り捨てをせず64文...
--パスワードの切り捨てはしない
--パスワード評価を実装しない場合、14桁以上を求める
-推測が容易な文字列かの評価
--使用を拒否する文字列:
---IDが含まれる場合は拒否する
---特定の文字列の繰り返し “12341234”、“monkeymonkey” など...
---キーボード配列や連続した文字列 “qwertyuiop”、“11111111...
---人名、地名、組織名、組織内で使用される略称、ブランド名...
--評価に違反した場合は、理由と改善方法をユーザーに通知する
*定期変更 [#u4e09b9f]
-パスワードの侵害をチェックしている場合は要求しない
-パスワードの侵害をチェックしていない場合は要求する
*アカウントロックアウト [#jdb2c906]
-連続失敗回数 3-5回
-ロックアウト期間 15分以上 もしくは経路外認証によるパスワ...
*パスフレーズの推奨と注意喚起の表示 [#vbd5df61]
-20桁を超えるパスフレーズを推奨する旨の表示を実装する
-推測容易なフレーズを使用しない旨の表示を実装する
--例:長いパスフレーズはなりすましを防ぐ有効な手段です。~
但し、姓名、生年月日など個人情報の使用や、第三者から推測...
地名や家族などの情報などの文字列を含まないようにご注意く...
*漏洩のチェック [#i313168a]
-漏洩が発覚した際は即時に変更を求める
*重要資産へのアクセス [#p2ffcf9b]
-多要素認証もしくはリスクベース認証を強く推奨する
*初回アクセス時のパスワード変更要求 [#eed20b58]
-システム発行のパスワードでの初回アクセス時は、必ずパスワ...
*パスワードの変更 [#v525d31c]
-ユーザーがパスワードを変更する場合は、現在のパスワードを...
-ユーザーがパスワードを忘れた場合、スマートフォンの Authe...
*IDの評価 [#ub59ee6a]
-使用を拒否する文字列
--root、sa、administrator、admin、adm、推測容易と思われる...
*パスフレーズの注意点 [#u229a7dc]
長いパスフレーズは、オンラインでの総当たり攻撃に対して有...
-watashino hahano kyuuseiha tanakadesu 私の 母の 旧姓は ...
-chichino shusshinnha nagano desu 父の 出身は 長野 です
-aneno namaeha yuka desu 姉の 名前は 由香 です
*Windows認証を利用する場合 [#b1751c60]
Windows の実装はNIST SP800-63-3よりも古いため、パスワー...
**背景と考え方 [#pb073070]
Active Directory の [複雑さの要件を満たす必要があるパスワ...
一方で、パスワードの長さを8桁かつ複雑さを要求した場合は、...
多要素認証の導入した場合は、これらの複雑かつ長いパスワー...
**Windows グループポリシーでの設定 [#j63846a6]
Windows のグループポリシー [コンピューターの構成]>[ポリシ...
-Windows Hello やハードウェアトークンなどの多要素認証を導...
--PIN を使用する場合、6桁以上とする
--PIN の定期変更、履歴、複雑性は求めない、但し、個人から...
--アカウントロックアウト期間は15分以上、もしくは管理者に...
-多要素認証を導入しない場合の [パスワードのポリシー]
--[パスワードの長さ] は14桁以上を推奨する
--[複雑さの要件を満たす必要があるパスワード] を有効にする...
--ユーザーのアカウント名またはフル ネームに含まれる 3 文...
--複雑性は長さ 6 文字以上で適用される。
--次の 4 つのカテゴリのうち 3 つから文字を使う。
---英大文字 (A から Z)
---英小文字 (a から z)
---10 進数の数字 (0 から 9)
---アルファベット以外の文字 (!、$、#、% など)
--定期的なセキュリティログ監査もしくはパスワードの漏洩・...
---ログ監査の対象 セキュリティログ
Event ID:4625(アカウントがログオンに失敗しました)~
Event ID:4776(資格情報の確認)
-多要素を導入する場合の [アカウント ロックアウトのポリシ...
--[アカウントのロックアウトのしきい値] を[5回ログオンに失...
--[ロックアウト カウンターのリセット] を [15分後] とする
--[ロックアウト 期間] を [15分] とする
ページ名:
