idnetworks

パスワード管理について

パスワードを使用することで利用制限をかけているのが通常ですがパスワードの運用をしっかりしないと誰でもそのシステムを利用できるようになります。

そのためエンドユーザーに対してパスワードをしっかり管理するようにコントロールすることが必要となります。パスワードの運用については大きく以下のような方法で行われています。

パスワードの設定ポリシー

パスワードでは誰もが知っている簡単な単語、そのユーザーの誕生日などを利用することでユーザーはパスワードを覚えられますがそれだと第三者からも類推されるためそのような単純なパスワードはつかわせないことが必要です。

最近のシステムではユーザーが自分でパスワードを設定するときに簡単なパスワードを入力する登録できないようになっていることが多いです。

    • パスワードの長さ
    • アルファベットの小文字、大文字と数字の混在(場合によっては?/=などの特殊文字)
    • 繰り返し文字の禁止
    • 辞書に載っている単語の禁止

以上のような条件に当てはまった場合パスワード変更時にパスワードの登録をさせないといった措置で対応できます。

定期的なパスワード変更

なんらかの方法でパスワードが盗まれた場合、パスワードが変更されるまで悪用される可能性が高まります。

特に一昔前は今日現在と比較してパスワードが入手することが容易だったため定期的にパスワード変更を行うことは必要でした。

そのため多くのシステムでは定期的にパスワードを変更することが標準的になっております。

同一パスワードの再利用の禁止

定期的なパスワード変更する時に攻撃者が過去に入手したパスワードで攻撃をするのを防ぐために過去に使用したパスワードの再登録をしないことが必要になります。

最近のシステムではパスワード変更時に過去数回使用したパスワードを入力した場合、パスワードの更新が行えないように処理していることがほとんどです。

ログイン失敗によるアカウントロック

連続して数回ログイン失敗した場合はそのIDでのログインを一時的に禁止する方式です。

パスワードを類推してログインを試みる攻撃に対して有用な方法になります。

デバイス認証

パスワード方式はどこでも利用できる反面そのパスワードさえ持っていれば誰でもシステムを利用することが可能になります。

セキュリティ強度が必要となる場合、パスワード以外のデバイスを利用する認証があります。

具体的にはICカード、ワンタイムトークン、マトリックス認証などが挙げられます。

旧メニュー