Windowsの「複雑さの要件を満たす必要があるパスワード」の最小文字数は“3文字”な理由：その知識、ホントに正しい？ Windowsにまつわる都市伝説（191）

Windowsのパスワードポリシーの一つ「複雑さの要件を満たす必要があるパスワード」の説明には、誤りが2つあります。1つは、Windowsのあるバージョンから誤りになってしまったもの。もう1つは、そもそもそんな要件など最初からなかったというものです。

[山市良，テクニカルライター]

Windowsにまつわる都市伝説

Microsoftは認識しているが、修正される気配がないドキュメントバグ

　次の説明は、Active Directoryドメインの「グループポリシー」「ローカルコンピューターポリシー（Gpedit.msc）」「ローカルセキュリティポリシー（Secpol.msc）」で参照できる「複雑さの要件を満たす必要があるパスワード」ポリシーのものです（画面1）。

複雑さの要件を満たす必要があるパスワード

• このセキュリティ設定は、パスワードが複雑さの要件を満たす必要があるかどうかを決定します。
• このポリシーが有効な場合、パスワードは次の最小要件を満たす必要があります。
• ユーザーのアカウント名またはフルネームに含まれる3文字以上連続する文字列を使用しない。
• 長さは6文字以上にする。
• 次の4つのカテゴリのうち3つから文字を使う。
  　英大文字（AからZ）
  　英小文字（aからz）
  　10進数の数字（0から9）
  　アルファベット以外の文字（!、$、#、% など）
• 複雑さの要件は、パスワードの変更時または作成時に強制的に適用されます。
• 既定値
  　有効（ドメイン コントローラーの場合）
  　無効（スタンドアロンサーバーの場合）
  　※注意：既定では、メンバーコンピューターはそのドメインコントローラーの構成に従います。

画面1　「複雑さの要件を満たす必要があるパスワード」ポリシーの説明には誤りが2つある

　1つ目の誤りは「長さは6文字以上にする」です。2つ目の誤りは、「既定値：無効（スタンドアロンサーバーの場合）」です。

　1つ目の誤りについては、Microsoftも認識しており、「Windows XP」から「Windows 7」と「Windows Server 2003」から「Windows Server 2008 R2」を対象としたサポート情報「“複雑さの要件を満たす必要がある”を有効にしてもパスワードの長さを6文字以上にする必要が無い（KB2617632）」が公開されていました（現在は削除されています）。

• 複雑さの要件を満たす必要があるパスワードについて（Japan Windows Commercial Support）（2014年10月28日にTechNetの「Ask the Network & AD Support Team／マイクロソフトNetwork ＆ ADサポートチーム公式ブログ」に投稿された記事のアーカイブ）

　実際には、「複雑さの要件を満たす必要があるパスワード」ポリシーを有効にしても、パスワードの長さが6文字以上であるかどうかは一切チェックされません。パスワードの長さに関係するとすれば「4つのカテゴリのうち3つから文字を使う」なので最小3文字、それがユーザー名に含まれる連続した3文字でなければ、「複雑さの要件を満たすパスワード」になります。例えば、ユーザー名「user01」にとって、「Pw1」というパスワードは複雑さの要件を満たしているのです。

　ただし、それは“ワークグループ構成のWindows Serverのローカルアカウント”の場合です。ドメインに参加するWindows Serverのローカルアカウント、およびドメインユーザーには、「Default Domain Policy」のパスワードのポリシーが適用されます。

　ドメインのパスワードポリシーでは「複雑さの要件を満たす必要があるパスワード」ポリシーに加え、「パスワードの長さ：7文字以上」ポリシーが既定で「有効」になっています。そのため、「複雑さの要件を満たす必要があるパスワード」ポリシーの6文字以上の制限が実際には存在しないことに気付きにくくなっています。

　2つ目の誤りである「既定値：無効（スタンドアロンサーバーの場合）」は、もともとは正しい説明でした。現在サポートされている（拡張セキュリティ更新プログラムを除く）Windowsの場合、Windowsクライアント（Homeエディションを除く）では「複雑さの要件を満たす必要があるパスワード」ポリシーが「無効」になっていて、Windows Serverでは「有効」になっているのが実際の既定値です。

誤りのルーツをたどる