パスワードポリシーで強力なパスワード設定を有効にする
パスワードポリシーで認証ポリシーと関連するルールを定義して、エンドユーザーにパスワード設定を適用できます。
Okta HealthInsightタスクの推奨事項
強力なパスワード設定を有効にして、パスワードのロックアウト、履歴、最短有効期間、最小の長さの設定を定義する厳格なパスワードポリシーを強制適用します。
| Oktaの推奨事項 |
パスワードポリシーを定義して、パスワードのロックアウト、履歴、最小有効期間、最小の長さ(8文字)を指定するとともに、よく使われるパスワードを禁止します。以下に構成例を示します。
これらの推奨事項は、一般的なパスワード基準の例としてOktaが示すものです。この例は、最近のサイバーセキュリティのベストプラクティスに基づいています。なお、この例は、ISO 27001、アメリカ国立標準技術研究所(NIST)、PCI-DSSといった、国際的に認められたサイバーセキュリティ標準に取って代わるものではありません。Organizationが選択したサイバーセキュリティ標準に準拠するように、IT部門にて設定を調整する必要があります。 |
| セキュリティへの影響 | 低 |
| エンドユーザーへの影響 |
中
「エンドユーザーのエクスペリエンスと影響」を参照してください。 |
推奨設定
| ロックアウト | ユーザーのアカウントがロックされるまでの、無効なパスワードでの最大試行回数を指定します。これにより、総当たり攻撃のパスワード攻撃から保護できます。 |
| 最小の長さ | パスワードの最小の長さを指定します(8文字以上)。パスワードが長いほど、総当たり攻撃からの保護が強化されます。 |
| 履歴 | パスワードを再利用するまでにユーザーが作成する必要のある、はっきりと区別できるパスワードの数を指定します。これにより、ユーザーはパスワードをリセットするときに以前のパスワードを再利用できなくなります。パスワードのリセットが必要なセキュリティ侵害があった場合、ユーザーが侵害された認証情報を再利用できないようにする必要があります。 |
| パスワードの有効期間 | パスワード変更の最小間隔を指定します。この設定により、ユーザーはパスワード履歴の記録の要件を回避できなくなります。 |
| よく使われるパスワードのチェック | よく使われるパスワードの使用を制限します。 |
エンドユーザーのエクスペリエンスと影響
以下は、パスワード設定が構成された場合にエンドユーザーがどのような影響を受けるかを示しています。
| ロックアウト |
ユーザーがサインインに複数回失敗すると、自身のアカウントにアクセスできなくなります。
管理者は、パスワードポリシールールのロックアウトオプションでアカウントのロック解除オプションを構成します。 管理者がセルフサービスまたは自動ロック解除オプションを有効にしていない場合、ユーザーは管理者にアカウントのロックを解除するよう求める必要があります。 ロックアウトポリシーを構成する際に、ユーザーの一般的なサインインパターンとセキュリティを考慮して、許可される試行回数を決定します。ロックアウトポリシーで許可される試行回数が少ないと、ロックアウトが増加する可能性があります。たとえば、モバイルデバイスからサインインする場合やパスワードを変更したばかりの場合、ユーザーがパスワードを誤って入力することが考えられます。一部のアプリでは、パスワード変更時にキャッシュされたパスワードが自動的に再試行され、ユーザーがロックアウトされる可能性もあります。ただし、ロックアウトポリシーで許可される試行回数が多すぎると、認証情報攻撃のリスクが高まります。 |
| 最小の長さ |
ユーザーにとって、長いパスワードを覚えることは難しいことであり、他の複雑性の要件(大文字や小文字、記号などを要求するなど)がある場合はさらに難しくなります。
NISTは、(フレーズのような形で)覚えやすく、総当たり攻撃での取得が困難な長いパスワードの利用を推奨しています。 |
| 履歴 | ユーザーがパスワードをリセットするときに、別のパスワードを使用する必要が生じます。これにより、パスワードを忘れたユーザーがロックアウトされる回数やパスワードをリセットする回数が増える可能性があります。 |
| パスワードの有効期間 |
パスワードが有効期間に到達する前、および前回のパスワードリセットの直後に、ユーザーがパスワードのリセットを行えないようにします。 たとえば、パスワードの有効期間を短く設定するときは、パスワード履歴を長く設定し、パスワードの再利用を防止することなどを検討してください。 |
| よく使われるパスワードのチェック | よく使用されるパスワードのリストに記載されたパスワードと一致するパスワードをユーザーが選択しても、そのパスワードは使用できません。 |
パスワードポリシーのパスワード設定を構成する
- Admin Consoleメニューでに移動します。
- [Password(パスワード)]タブで各ポリシーを確認します。ポリシーを編集するには、[Edit(編集)]をクリックします。
- 推奨事項に基づいてパスワード設定を編集します。
- 各設定を有効にするには、[Password History(パスワード履歴)]、[Password Age(パスワードの有効期間)]、[Lock out(ロックアウト)]、[Common Password Check(よく使われるパスワードのチェック)]のチェックボックスを選択します。