パスワードを使用することで利用制限をかけているのが通常ですがパスワードの運用をしっかりしないと誰でもそのシステムを利用できるようになります。
そのためエンドユーザーに対してパスワードをしっかり管理するようにコントロールすることが必要となります。パスワードの運用については大きく以下のような方法で行われています。
パスワードの設定ポリシー
パスワードでは誰もが知っている簡単な単語、そのユーザーの誕生日などを利用することでユーザーはパスワードを覚えられますがそれだと第三者からも類推されるためそのような単純なパスワードはつかわせないことが必要です。
最近のシステムではユーザーが自分でパスワードを設定するときに簡単なパスワードを入力する登録できないようになっていることが多いです。
- パスワードの長さ
- アルファベットの小文字、大文字と数字の混在(場合によっては?/=などの特殊文字)
- 繰り返し文字の禁止
- 辞書に載っている単語の禁止
以上のような条件に当てはまった場合パスワード変更時にパスワードの登録をさせないといった措置で対応できます。
対応方法
パスワードポリシーにあったパスワードの運用を行うことは非常に難しいです。
ランダムパスワードを利用することで半ば強制的にパスワードポリシーにそったパスワードの運用ができるようになります。シングルサインオンの技術と組み合わせることで複雑なパスワード運用が可能になります。
危険なパスワードを見せない ~ 特権アカウントシングルサインオン
特権アカウントだけでなくエンタープライズシングルサインオンも同様のコンセプトでパスワードポリシーを守ります。
AccessMatrix™ Universal Sign-On (USO)
定期的なパスワード変更
なんらかの方法でパスワードが盗まれた場合、パスワードが変更されるまで悪用される可能性が高まります。
特に一昔前は今日現在と比較してパスワードが入手することが容易だったため定期的にパスワード変更を行うことは必要でした。
そのため多くのシステムでは定期的にパスワードを変更することが標準的になっております。
特権アカウントにおいては利用後にパスワード変更する運用も一般的です。
同一パスワードの再利用の禁止
定期的なパスワード変更する時に攻撃者が過去に入手したパスワードで攻撃をするのを防ぐために過去に使用したパスワードの再登録をしないことが必要になります。
最近のシステムではパスワード変更時に過去数回使用したパスワードを入力した場合、パスワードの更新が行えないように処理していることがほとんどです。
特権アカウント向けBeyondTrust Password Safe 、 BeyondTrust PRAやエンタープライズシングルサインオン製品AxMx USOではランダムパスワードを利用したパスワード更新を行うので同一パスワードの利用を防ぐことができます。
ログイン失敗によるアカウントロック
連続して数回ログイン失敗した場合はそのIDでのログインを一時的に禁止する方式です。
パスワードを類推してログインを試みる攻撃に対して有用な方法になります。
デバイス認証、生態認証との組み合わせ
パスワード方式はどこでも利用できる反面そのパスワードさえ持っていれば誰でもシステムを利用することが可能になります。
セキュリティ強度が必要となる場合、パスワード以外のデバイスや生体情報を利用する認証があります。
デバイス認証、生態認証と組み合わせることでより一層セキュリティー強度を高めることができるようになります。