No Programming, No Life

プログラミング関連の話題や雑記

パスワードの付け方・運用の仕方・管理の仕方のまとめ

最も基本的で最も破られやすいセキュリティの瀬戸際、それがパスワード。
そんなパスワードの設定方法・運用方法・管理方法をまとめておく。

パスワードの設定方法(付け方)

パスワードの運用方法

  • 一定回数以上失敗すると、使用できないようにする(アカウントロックアウト機能)
  • 共有しない
  • 定期的または利用回数に基づいて変更する
  • 利用者による管理の場合、最初に仮パスワードを発行し、最初のログオン時に変更する
  • パスワードは、入力時にスクリーンに表示しない
  • デフォルトのベンダーパスワードは、直ちに変更
  • パスワードを忘れた場合、確実な本人確認を行う
  • 仮パスワードの発行は本人に安全な方法で提供、受領通知を受けること
  • 他の方法(バイオメトリクスICカード他)との併用も考慮

パスワードの管理方法

  • 正式な管理手続きによって管理する
  • パスワードの適切な運用を採用条件に含め、署名させる
  • 利用者が自分のパスワードを管理(選択、変更)
  • アプリケーションファイルと分離して保管する
  • 一方向の暗号アルゴリズムを用いて暗号化して、保管する
  • 過去に使用したパスワードの記録を保持(再使用を防止)