Windows TIPS
[System Environment]
  Windows TIPS TOPへ
Windows TIPS全リストへ
内容別分類一覧へ

「パスワードの複雑性」の要件


デジタルアドバンテージ 打越 浩幸
2005/05/21
 
対象OS
Windows 2000
Windows XP
Windows Server 2003
ユーザー名から類推が容易なパスワードや、短いパスワードの使用は安全性に問題があるので禁止させたいことがある。
セキュリティ・ポリシーを変更すれば、ある種の「複雑性」を満たさないパスワードの使用を禁止することができる。
ただしこのセキュリティ・ポリシーで強制できる条件は非常に限定的なので、補助的な運用ルールなども決めるのが望ましい。
 
解説

 パスワード管理の重要性についてはいうまでもないが、パスワードに使う文字列に簡単なものを使用しない、というのも破られにくいパスワードの必要条件である。例えばユーザー名と同じ文字列や、単語の末尾に数字を付加しただけといった、類推が容易なパスワードは安全性が低い。このようなパスワードを使用しないようにユーザーを教育するという方法も1つの手であるが、可能ならばシステム側でそのようなパスワードの使用を禁止できるとよい。そうすれば、すべてのパスワードがある程度の強度を持つことになり、脆弱なユーザー名/パスワードの組から、重要な情報が漏えいしたり、システムが攻撃されたりする危険性を多少なりとも下げることができるからだ。

 [管理ツール]の[ローカル セキュリティ ポリシー]や、Active Directoryのグループ・ポリシーを使うと、パスワードに対してある程度の「複雑性(complexity)」を要求するように設定することができる。

複雑なパスワードを要求するためのポリシー設定
これは[管理ツール]の[ローカル セキュリティ ポリシー]の例。グループ・ポリシーでは、[コンピュータの構成]−[Windows の設定]−[セキュリティの設定]−[アカウント ポリシー]−[パスワードのポリシー]を開く。この中にある[パスワードは、複雑さの要件を満たす必要がある]([パスワードは要求する複雑さを満たす]となっている場合もある)を設定すると、類推が容易なパスワードの使用は禁止される。
  このポリシーを開く。
  これを[有効]に設定する。

 この設定を[有効]にすると(デフォルトは[無効])、パスワードを設定したり、変更したりする場合にパスワードの複雑性が検証され、条件を満たしていないと次のようなダイアログが表示される。

条件を満たさないパスワードの禁止
条件を満たさないパスワードを設定しようとすると、エラーとなる。

 ここでは、このポリシー設定を有効にした場合に求められる、「パスワードの複雑性に対する要件」についてまとめておく。具体的には、次のような条件を満たす必要がある。

■3種類以上の文字を含むこと
 英大文字(A、B、……、Z)/英小文字(a、b、……、z)/数字(0、1、……、9)/記号(英数字以外の記号類)のうち、3種類以上を含むこと。例えばyamada4599は禁止されるが、yamada-2931は条件を満たす。

■文字列長は3文字以上
 ヘルプやサポート技術情報(参考リンク参照)などによれば、このポリシー設定を行うと、パスワードとして設定する文字が全体で6文字以上必要となるとされているが、実際にはパスワード長は別のポリシー「パスワードの長さ」によって規定されている。そのため、上の「3種類以上の文字を含むこと」という条件を考慮すると、実質的には3文字以上のパスワードを設定すればよい。実際に運用する場合は「パスワードの長さ」ポリシーも併用するのがよいだろう。

■ユーザー名を含むパスワードの禁止
 パスワードの一部に、ユーザー名そのものを含むパスワードは禁止される。例えばユーザー名がyamadaの場合、yamada-123とか、!yamada9といったパスワードは利用できない。なお、ヘルプやサポート技術情報(参考リンク参照)などによれば、ユーザー名の一部だけを含むパスワードも禁止されるとなっているが、yam-123!といったパスワードは許可されてしまうようである。

 このように、パスワードの複雑性の要求ポリシーを設定すれば以上の条件が検証され、これを満たさないパスワードの使用を禁止することができる。だがこれだけでは十分ではないだろう。例えばユーザー名の一部だけを使用していたり、単純な数値を末尾に付けるだけ(例:yama-123)、ペットや人の名などを使用しても、それらを禁止することはできない。このあたりは、さらにパスワード設定のガイドラインを作成して、ユーザーに配布/教育するといった手段も必要だろう。また、パスワード検証用のフィルタ・プログラムを独自に開発して利用するという方法もあるが(こうすれば、より複雑な条件を課することができる)、詳細についてはサポート技術情報などを参考にしていただきたい。

 なおパスワードに関するポリシーとしては、このほかにも、過去に使用したものと同じものを使用禁止にするとか、何日ごとに変更を強制するなどのもポリシーもあるので、それらも必要に応じて設定していただきたい。End of Article

関連記事(Windows Server Insider)
  Windows TIPS:安全性の高いランダムなパスワードを生成し、パスワードを変更する
  Windows TIPS:安全性の高いパスワードを作るコツ
  Windows TIPS:パスワードの有効期間を無期限にする
  Windows TIPS:ユーザー・アカウントのロックアウトを解除する
  Windows TIPS:ドメインのユーザー・パスワードを変更する
  Windows TIPS:キャッシュされたログオンを無効にする
  Windows TIPS:TIPSディレクトリ > ソリューション別 > パスワード
     
  関連リンク
  Password Is Not Compliant with the System Password Complexity Policy[英語](マイクロソフトサポート技術情報)
  パスフレーズ vs. パスワード 第1回(マイクロソフトTechnet セキュリティ コラム)
  パスフレーズ vs. パスワード 第2回(マイクロソフトTechnet セキュリティ コラム)
  パスフレーズ vs. パスワード 第3回(マイクロソフトTechnet セキュリティ コラム)
   
この記事と関連性の高い別のWindows TIPS
ドメインのユーザー・パスワードを変更する
安全性の高いランダムなパスワードを生成し、パスワードを変更する
Office文書にパスワードを設定する
パスワードの有効期間を無期限にする
オートコンプリートの「パスワード保存」ダイアログを理解する
Windows XPにネットワーク接続できない
リモート・デスクトップのショートカットに保存されたパスワードを削除する
Outlookのデータ・ファイルにパスワードを設定する
共有リソース・アクセス時にパスワード入力を求められる「IPC$」とは?
このリストは、(株)デジタルアドバンテージが開発した
自動関連記事探索システム Jigsaw(ジグソー) により自動抽出したものです。
generated by

「Windows TIPS」

TechTargetジャパン

Windows Server Insider フォーラム 新着記事
  • Googleカレンダーで数年後の年月日へ素早く移動する (2014/12/18)
     PC版Googleカレンダーで数年後の予定を追加するには、[次]ボタンを何十回もクリックしなければならず面倒だ。そこを数回のクリックですぐ移動する方法とは?
  • PC版Gmailで常に「全員」へ返信する (2014/12/17)
     PCのWeb版Gmailで返信メールを起稿すると、デフォルトでは元のメールの送信者だけに返信される。他の受信者も含めて全員に返信されるようにするには?
  • 第442話 大は小を兼ねる (2014/12/16)
     「迷ったら、小さい方より、大きい方を選んでおくといいぞ。『大は小を兼ねる』というからね」「先生、そうとばかりは限りません」
  • 組織導入のためのChromebook管理術 (2014/12/15)
     日本でも販売された「Chromebook」。組織導入を検討しているところも多いのでないだろうか。そこでChrome管理コンソールを使った管理方法を解説する
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

キャリアアップ

- PR -

イベントカレンダー

PickUpイベント

- PR -

アクセスランキング

もっと見る
- PR -

ホワイトペーパーTechTargetジャパン

ソリューションFLASH

「ITmedia マーケティング」新着記事

第4回 お客さまと対話するCCO
企業の中において顧客への提供価値の連続性とその向上に責任を持つCCOとは別に、お客さま...

国内IoT広告市場、2020年には5倍に成長〜スパイスボックスが調査〜
スパイスボックスは12月17日、シード・プランニングのデジタル領域の市場/サービス調査...

日本オラクル、「Oracle Service Cloud」の新機能「Service Collaboration」を提供開始
日本オラクルは12月18日、カスタマーサポート業務を支援するクラウドソリューション「Ora...