| [System Environment] | ||||||||||||
「パスワードの複雑性」の要件
|
||||||||||||
|
||||||||||||
| 解説 |
パスワード管理の重要性についてはいうまでもないが、パスワードに使う文字列に簡単なものを使用しない、というのも破られにくいパスワードの必要条件である。例えばユーザー名と同じ文字列や、単語の末尾に数字を付加しただけといった、類推が容易なパスワードは安全性が低い。このようなパスワードを使用しないようにユーザーを教育するという方法も1つの手であるが、可能ならばシステム側でそのようなパスワードの使用を禁止できるとよい。そうすれば、すべてのパスワードがある程度の強度を持つことになり、脆弱なユーザー名/パスワードの組から、重要な情報が漏えいしたり、システムが攻撃されたりする危険性を多少なりとも下げることができるからだ。
[管理ツール]の[ローカル セキュリティ ポリシー]や、Active Directoryのグループ・ポリシーを使うと、パスワードに対してある程度の「複雑性(complexity)」を要求するように設定することができる。
 |
||||||
| 複雑なパスワードを要求するためのポリシー設定 | ||||||
| これは[管理ツール]の[ローカル セキュリティ ポリシー]の例。グループ・ポリシーでは、[コンピュータの構成]−[Windows の設定]−[セキュリティの設定]−[アカウント ポリシー]−[パスワードのポリシー]を開く。この中にある[パスワードは、複雑さの要件を満たす必要がある]([パスワードは要求する複雑さを満たす]となっている場合もある)を設定すると、類推が容易なパスワードの使用は禁止される。 | ||||||
|
この設定を[有効]にすると(デフォルトは[無効])、パスワードを設定したり、変更したりする場合にパスワードの複雑性が検証され、条件を満たしていないと次のようなダイアログが表示される。
 |
| 条件を満たさないパスワードの禁止 |
| 条件を満たさないパスワードを設定しようとすると、エラーとなる。 |
ここでは、このポリシー設定を有効にした場合に求められる、「パスワードの複雑性に対する要件」についてまとめておく。具体的には、次のような条件を満たす必要がある。
■3種類以上の文字を含むこと
英大文字(A、B、……、Z)/英小文字(a、b、……、z)/数字(0、1、……、9)/記号(英数字以外の記号類)のうち、3種類以上を含むこと。例えばyamada4599は禁止されるが、yamada-2931は条件を満たす。
■文字列長は3文字以上
ヘルプやサポート技術情報(参考リンク参照)などによれば、このポリシー設定を行うと、パスワードとして設定する文字が全体で6文字以上必要となるとされているが、実際にはパスワード長は別のポリシー「パスワードの長さ」によって規定されている。そのため、上の「3種類以上の文字を含むこと」という条件を考慮すると、実質的には3文字以上のパスワードを設定すればよい。実際に運用する場合は「パスワードの長さ」ポリシーも併用するのがよいだろう。
■ユーザー名を含むパスワードの禁止
パスワードの一部に、ユーザー名そのものを含むパスワードは禁止される。例えばユーザー名がyamadaの場合、yamada-123とか、!yamada9といったパスワードは利用できない。なお、ヘルプやサポート技術情報(参考リンク参照)などによれば、ユーザー名の一部だけを含むパスワードも禁止されるとなっているが、yam-123!といったパスワードは許可されてしまうようである。
このように、パスワードの複雑性の要求ポリシーを設定すれば以上の条件が検証され、これを満たさないパスワードの使用を禁止することができる。だがこれだけでは十分ではないだろう。例えばユーザー名の一部だけを使用していたり、単純な数値を末尾に付けるだけ(例:yama-123)、ペットや人の名などを使用しても、それらを禁止することはできない。このあたりは、さらにパスワード設定のガイドラインを作成して、ユーザーに配布/教育するといった手段も必要だろう。また、パスワード検証用のフィルタ・プログラムを独自に開発して利用するという方法もあるが(こうすれば、より複雑な条件を課することができる)、詳細についてはサポート技術情報などを参考にしていただきたい。
なおパスワードに関するポリシーとしては、このほかにも、過去に使用したものと同じものを使用禁止にするとか、何日ごとに変更を強制するなどのもポリシーもあるので、それらも必要に応じて設定していただきたい。
この記事と関連性の高い別の記事
- ドメインのユーザー・パスワードを変更する(TIPS)
- 安全性の高いランダムなパスワードを生成し、パスワードを変更する(TIPS)
- Office文書にパスワードを設定する(TIPS)
- Google Chromeに保存されているWebサイトのIDとパスワードの情報を確認する(TIPS)
- オートコンプリートの「パスワード保存」ダイアログを理解する(TIPS)
- パスワードの有効期間を無期限にする(TIPS)
このリストは、デジタルアドバンテージが開発した自動関連記事探索システム Jigsaw(ジグソー) により自動抽出したものです。
 |
「Windows TIPS」 |
- Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる (2017/7/27)
AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう - Azure Storage ExplorerでStorageを手軽に操作する (2017/7/24)
エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう - Win 10でキーボード配列が誤認識された場合の対処 (2017/7/21)
キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう - Azure Web AppsでWordPressをインストールしてみる (2017/7/20)
これまでのIaaSに続き、Azureの大きな特徴といえるPaaSサービス、Azure App Serviceを試してみた! まずはWordPressをインストールしてみる
 |
|
|
|
|
注目のテーマ
Windows Server Insider 記事ランキング
転職/派遣情報を探す
