パスワード・ポリシーで強力なパスワード設定を有効にする
パスワード・ポリシーを使用すると、認証ポリシーと関連ルールを定義して、エンド・ユーザーにパスワード設定を適用できます。
HealthInsightタスクの推奨事項
強力なパスワード設定を有効にして、パスワードのロックアウト、履歴、変更禁止期間、最短の長さの設定を定義する厳格なパスワード・ポリシーを適用します。
| Oktaの推奨事項 | パスワード・ポリシーを定義して、パスワードのロックアウト、履歴、変更禁止期間、最短の長さを8文字に指定し、よく使われるパスワードを禁止します。 パスワード・ロックアウトを10回超、最小パスワード履歴を24件、変更禁止期間を1時間、最短の長さを12文字に指定し、よく使われるパスワードを制限するパスワード・ポリシーを定義します。 |
| セキュリティーへの影響 | 低 |
| エンドユーザーへの影響 | 中 「エンド・ユーザーのエクスペリエンスと影響」を参照してください。 |
推奨設定
| ロックアウト | ユーザーのアカウントをロックするまでの無効なパスワードの最大試行回数を指定します。これにより、総当たりのパスワード攻撃から保護できます。 |
| 最短の長さ | パスワードの長さは8文字以上にします。パスワードが長いほど、総当たり攻撃からの保護が強化されます。 |
| 履歴 | パスワードを再利用する前にユーザーが作成しなければならないパスワードの数を指定します。これにより、ユーザーはパスワードをリセットするときに以前のパスワードを再利用できなくなります。パスワードのリセットが必要なセキュリティー侵害があった場合、ユーザーが侵害された認証情報を再利用できないようにする必要があります。 |
| パスワードの変更禁止期間 | パスワード変更の間に必要な最短の時間間隔を入力します。この設定により、ユーザーはパスワード履歴の記録の要件を回避できなくなります。 |
| よく使われるパスワードのチェック | よく使われるパスワードの使用を制限します。 |
エンドユーザーのエクスペリエンスと影響
以下は、パスワード設定を構成した場合のエンド・ユーザーへの影響に関する情報です。エンドユーザーへの影響を参照してください。
| ロックアウト | ユーザーが複数回サインインに失敗すると、アカウントにアクセスできなくなります。 ユーザーがロックアウトされた際に使用できるアカウントのロック解除オプションは、管理者が定義したパスワード・ポリシーのロックアウト設定とポリシー・ルールによって指定されます。セルフサービスまたは自動ロック解除の設定が有効になっていない場合、ユーザーは管理者に連絡してアカウントのロックを解除する必要があります。試行回数に関しては、一般的なユーザーのサインイン・パターンとセキュリティーの両方を考慮する必要があります。 ロックアウト・ポリシーで許可される試行回数が少ないと、ロックアウト・インシデントが増加する可能性があります。たとえば、モバイル・デバイスからサインインする場合やパスワードを変更したばかりの場合、ユーザーがパスワードを誤って入力することが考えられます。一部のアプリケーションでは、パスワード変更時にキャッシュされたパスワードが自動的に再試行され、ユーザーがロックアウトされる可能性もあります。ただし、ロックアウト・ポリシーで許可される試行回数が多すぎると、資格情報攻撃のリスクが高まります。 |
| 最短の長さ | パスワードが長くなればなるほど、特にほかの複雑さの要件(大文字、小文字、記号が必要になるなど)と組み合わさった場合に、ユーザーにとって覚えにくくなります。 米国国立標準技術研究所(NIST)は、(「フレーズのようで」)覚えやすい反面、総当たり攻撃によって窃取されにくい長いパスワードを推奨しています。 |
| 履歴 | パスワード履歴を適用すると、ユーザーがパスワードをリセットするときに新しいパスワードを使用する必要が生じます。これにより、パスワードを忘れたユーザーがロックアウトされる回数やパスワードをリセットする回数が増える可能性があります。 |
| パスワードの変更禁止期間 | パスワードの変更禁止期間を適用すると、ユーザーがパスワードのリセット後に新しいパスワードを忘れ、必要なパスワードが指定されたパスワードの変更禁止期間が終わっていない場合に、セルフサービスでパスワードをリセットできなくなります。 管理者はパスワードの変更禁止期間を設定する際に、次の点を考慮する必要があります。パスワードの変更禁止期間を短くすると、パスワードの履歴を長くすることでバランスがとれ、パスワードの再利用を防ぐことができます。 |
| よく使われるパスワードのチェック | よく使われるパスワードのリストにあるものと一致するパスワードをユーザーが設定しようとしても、そのパスワードは使用できません。 |