パスワードの設定方法(付け方)

• 最低8文字以上にする⇒ブルートフォース攻撃の危険性
• 個人を特定できる(名前、電話番号など)ものは使用しない⇒ブルートフォース攻撃の危険性
• 推測しやすい文字(連続文字、辞書)は使用しない⇒ブルートフォース攻撃、辞書攻撃の危険性
• 以前に使ったことのあるパスワードは使用しない
• 自動ログオンプロセスにパスワードを含めない
• 他の方法(バイオメトリクス、ICカード他)との併用も考慮

パスワードの運用方法

• 一定回数以上失敗すると、使用できないようにする(アカウントロックアウト機能)
• 共有しない
• 定期的または利用回数に基づいて変更する
• 利用者による管理の場合、最初に仮パスワードを発行し、最初のログオン時に変更する
• パスワードは、入力時にスクリーンに表示しない
• デフォルトのベンダーパスワードは、直ちに変更
• パスワードを忘れた場合、確実な本人確認を行う
• 仮パスワードの発行は本人に安全な方法で提供、受領通知を受けること
• 他の方法(バイオメトリクス、ICカード他)との併用も考慮

パスワードの管理方法

• 正式な管理手続きによって管理する
• パスワードの適切な運用を採用条件に含め、署名させる
• 利用者が自分のパスワードを管理(選択、変更)
• アプリケーションファイルと分離して保管する
• 一方向の暗号アルゴリズムを用いて暗号化して、保管する
• 過去に使用したパスワードの記録を保持(再使用を防止)

出典・参考

情報セキュリティスペシャリスト「専門知識+午後問題」の重点対策〈2009〉 (情報処理技術者試験対策書)

• 作者: 三好康之
• 出版社/メーカー: アイテック
• 発売日: 2009/01
• メディア: 単行本
• 購入: 3人 クリック: 4回
• この商品を含むブログ (11件) を見る