#author("2020-07-28T15:59:10+09:00","","")
[[・パスワードについて]]~
本項は、パスワード認証を実装する際の要求事項と、認証に関する留意事項を解説します。~
*パスワード認証を実装する際の要求事項 [#he380001]
今後、構築されるアプリケーションのパスワードの要件として以下を推奨します。なお、必要に応じてテラーリングを認めますが、強度が低くなるテラーリングをする際は、その理由を明確にして文書化し、ユーザーとベンダーで共有し合意してください。なお、Windows認証を利用する際は、[[Windows認証を利用する場合>リスクの影響度に応じた認証方式の選択#v80551cc]]を参照してください。
**長さ [#c4486e33]
-8文字以上 64文字以上の受け入れを許可する
-パスワードの切り捨てはしない
-パスワード評価を実装しない場合、14桁以上を求める
**定期変更 [#ja66dd42]
-要求しない
**複雑さ [#k7b49ac7]
-以下の例外を除き要求しない
-IDから個人を特定できる場合は、推測可能な生年月日や電話番号だけの使用を避けるため英数を要求する
**パスワードの評価 [#g6246d17]
***使用を拒否する文字列 [#v54875d9]
-IDや氏名が含まれる場合は拒否する
-特定の文字列の繰り返し 12341234などは拒否する
-連続した文字列 qwertyuiop 11111111などは拒否する
-評価に違反した場合は、理由と改善方法をユーザーに通知する
**アカウントロックアウト [#k2601399]
-連続失敗回数 3-5回
-ロックアウト期間 15分以上 もしくは経路外認証によるパスワード変更
**パスフレーズを推奨する表示 [#m363777c]
-20桁を超えるパスフレーズを推奨する旨の表示を実装する
**漏洩のチェック [#b7cfe432]
-漏洩が発覚した際は即時に変更を求める
**重要資産へのアクセス [#nfb197c7]
-多要素認証もしくはリスクベース認証を強く推奨する
**初回アクセス時のパスワード変更要求 [#p110405a]
システム発行のパスワードでの初回アクセス時は、必ずパスワードの変更を求める
**パスワードの変更 [#bec348ff]
ユーザーがパスワードを変更する場合は、現在のパスワードを要求する。
ユーザーがパスワードを忘れた場合、スマートフォンの Authenticator や SMS、電子メールなどの経路外認証を要求する。
なお、経路外でSMS、電子メールを使用する場合、秘密シークレットは送信しない。
**ID [#j682837f]
***使用を拒否する文字列 [#k0323b8d]
root、sa、administrator、admin、adm、ブランド名が含まれる場合は拒否する
&br;
