パスワードポリシーで強力なパスワード設定を有効にする
パスワードポリシーで認証ポリシーと関連するルールを定義して、エンドユーザーにパスワード設定を適用できます。
Okta HealthInsightタスクの推奨事項
強力なパスワード設定を有効にして、パスワードのロックアウト、履歴、最短有効期間、最小の長さの設定を定義する厳格なパスワードポリシーを強制適用します。
Oktaの推奨事項 |
パスワードポリシーを定義して、パスワードのロックアウト、履歴、最短有効期間、最小の長さ(8文字)を指定するとともに、以下のようなよく使われるパスワードの使用を制限します。
これらの推奨事項は、一般的なパスワード基準の例としてOktaが示すものです。この例は、最近のサイバーセキュリティのベストプラクティスに基づいています。なお、この例は、ISO 27001、NIST、PCI-DSSといった、国際的に認められたサイバーセキュリティ標準に取って代わるものではありません。組織が選択したサイバーセキュリティ標準に準拠するように、IT部門にて設定を調整する必要があります。 |
セキュリティへの影響 | 低 |
エンドユーザーへの影響 |
中
「エンドユーザーのエクスペリエンスと影響」を参照してください。 |
推奨設定
ロックアウト | ユーザーのアカウントがロックされるまでの、無効なパスワードでの最大試行回数を指定します。これにより、総当たりのパスワード攻撃から保護できます。 |
最小の長さ | パスワードの最小の長さを指定します(8文字以上)。パスワードが長いほど、総当たり攻撃からの保護が強化されます。 |
履歴 | パスワードを再利用するまでにユーザーが作成する必要のある、はっきりと区別できるパスワードの数を指定します。これにより、パスワードの再設定時に以前に使用したパスワードが再利用できなくなります。パスワードのリセットが必要なセキュリティ侵害があった場合、ユーザーが侵害された認証情報を再利用できないようにする必要があります。 |
パスワードの有効期間 | パスワード変更の最小間隔を指定します。この設定により、ユーザーはパスワード履歴の記録の要件を回避できなくなります。 |
よく使われるパスワードのチェック | よく使われるパスワードの使用を制限します。 |
エンドユーザーのエクスペリエンスと影響
以下は、パスワード設定を構成した場合のエンドユーザーへの影響に関する情報です。「エンドユーザーへの影響」を参照してください。
ロックアウト |
ユーザーがサインインに複数回失敗すると、自身のアカウントにアクセスできなくなります。
ユーザーがロックアウトされた際に使用できるアカウントのロック解除オプションは、管理者が定義したパスワードポリシーのロックアウト設定とポリシールールによって指定されます。セルフサービスまたは自動ロック解除の設定が有効になっていない場合、ユーザーは管理者に連絡してアカウントをロック解除してもらう必要があります。試行回数に関しては、一般的なユーザーのサインインパターンとセキュリティの両方を考慮する必要があります。 ロックアウトポリシーで許可される試行回数が少ないと、ロックアウトインシデントが増加する可能性があります。たとえば、モバイルデバイスからサインインする場合やパスワードを変更したばかりの場合、ユーザーがパスワードを誤って入力することが考えられます。一部のアプリケーションでは、パスワード変更時にキャッシュされたパスワードが自動的に再試行され、ユーザーがロックアウトされる可能性もあります。ただし、ロックアウトポリシーで許可される試行回数が多すぎると、認証情報攻撃のリスクが高まります。 |
最小の長さ |
ユーザーにとって、長いパスワードを覚えることは難しいことであり、他の複雑性の要件(大文字、小文字、記号などを要求するなど)がある場合はさらに難しくなります。
アメリカ国立標準技術研究所(NIST)は、(フレーズのような形で)覚えやすく、総当たりの攻撃での取得が困難な長いパスワードの利用を推奨しています。 |
履歴 | パスワード履歴を適用すると、ユーザーがパスワードをリセットするときに新しいパスワードを使用する必要が生じます。これにより、パスワードを忘れたユーザーがロックアウトされる回数やパスワードをリセットする回数が増える可能性があります。 |
パスワードの有効期間 |
パスワードの有効期間を設定すると、ユーザーが再設定した新しいパスワードを忘れて、そのパスワードが特定のパスワードの有効期間に達していないときに、セルフサービスでパスワードを再設定できなくなります。
管理者はパスワードの有効期間を設定する際に、次の点を考慮する必要があります。パスワードの有効期限を短くしても、パスワード履歴を長くすることでパスワードの再利用を防止できます。 |
よく使われるパスワードのチェック | よく使われるパスワードのリストに記載されたパスワードと一致するパスワードをユーザーが設定しようとすると、そのパスワードの使用が制限されます。 |
パスワードポリシーのパスワード設定を構成する
- 管理コンソールのメニューで、[Security(セキュリティ)]>[Authentication(認証)]に移動します。
- [Password(パスワード)]タブで、各ポリシーを確認します。ポリシーを編集するには、[Edit(編集)]をクリックします。
- 推奨事項に基づいてポリシー内のパスワード設定を編集します。
- 各設定を有効にするには、[Password History(パスワード履歴)]、[Password Age(パスワードの有効期間)]、[Lock out(ロックアウト)]、[Common Password Check(よく使われるパスワードのチェック)]の横のボックスを選択します。
関連項目
サインオンのポリシーとルール