トップ   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

パスワード認証に関する要求事項(推奨) のバックアップ(No.3)


・パスワードについて?

本項は、パスワード認証を実装する際の要求事項と、認証に関する留意事項を解説します。

パスワード認証を実装する際の要求事項

今後、構築されるアプリケーションのパスワードの要件として以下を推奨します。なお、必要に応じてテラーリングを認めますが、強度が低くなるテラーリングをする際は、その理由を明確にして文書化し、ユーザーとベンダーで共有し合意してください。なお、Windows認証を利用する際は、Windows認証を利用する場合を参照してください。

長さ

  • 8文字以上 64文字以上の受け入れを許可する
  • パスワード評価を実装しない場合、14桁以上を求める

定期変更

  • 要求しない

複雑さ

  • 以下の例外を除き要求しない
  • IDから個人を特定できる場合は、推測可能な生年月日や電話番号だけの使用を避けるため英数を要求する

パスワードの評価

使用を拒否する文字列

  • IDや氏名が含まれる場合は拒否する
  • 特定の文字列の繰り返し 12341234などは拒否する
  • 連続した文字列 qwertyuiop 11111111などは拒否する
  • 評価に違反した場合は、理由と改善方法をユーザーに通知する

アカウントロックアウト

  • 連続失敗回数 3-5回
  • ロックアウト期間 15分以上 もしくは経路外認証によるパスワード変更

パスフレーズを推奨する表示

  • 20桁を超えるパスフレーズを推奨する旨の表示を実装する

漏洩のチェック

  • 漏洩が発覚した際は即時に変更を求める

重要資産へのアクセス

  • 多要素認証もしくはリスクベース認証を強く推奨する

初回アクセス時のパスワード変更要求

システム発行のパスワードでの初回アクセス時は、必ずパスワードの変更を求める