パスワードクオリティスケール
ユーザー ID、サーバー ID、認証者 ID にパスワードを設定する場合は、パスワードの強度とセキュリティについて、Domino® の基準を理解しておく必要があります。Domino® では、パスワードクオリティスケールで指定されたレベルに従ってパスワードの強度を設定します。ユーザー登録時のデフォルトでは、一番弱いクオリティレベルに設定されています。Domino® では、パスワードの文字数と文字の種類を基にしてパスワードのクオリティを判断します。
パスワードクオリティを計算するアルゴリズムにより、ユーザー ID ファイルを保護するために選択されたパスワードクオリティスケールのレベルを満たす、十分に複雑なパスワードの選択を行うことができます。ユーザーの登録時、そのユーザーの ID ファイルにパスワード強度を示す値が格納されます。該当ユーザーがパスワードを変更する場合、この設定が適用されます。
スケールは、0 (最も弱い) から 16 (最も強い) までのレベルで表します。レベル 0 ではパスワードが要求されません。クオリティレベル 1 は、どんなパスワードでもこの基準を満たすことを意味します。Domino® では、認証者、サーバー、ユーザーのパスワードクオリティに対してデフォルトレベルが定義されています。それらのデフォルト値は、組織のセキュリティ基準を満たすように変更する必要があります。デフォルト値は、セキュリティ設定ポリシー文書、システム管理プリファレンス、登録ダイアログボックスまたは認証ダイアログボックスで設定できます。
パスワードの強度は、パスワードの長さとは異なります。パスワードクオリティスケールでは、パスワードの文字数が同じでも強度が同じとは限りません。たとえば、「password」と「1168Acme」はどちらも 8 文字ですが、前者は単語で、後者は数字とアルファベットの組み合わせです。したがって、クオリティスケールでは文字の複雑さという点でレベルが違い、強度も違ってきます。
パスワードクオリティスケール | 説明 | 例 |
---|---|---|
0<nozeros> |
パスワードはオプションのです。 |
なし。 |
1<nozeros> |
どのようなパスワードでも設定できます。 |
b, 3 |
2 から 6 |
試行錯誤でパスワードを推測できる可能性がある場合でも、脆弱なパスワードを許可します。 |
password, doughnut (パスワードクオリティスケールは 3) lightferret, b 4D (パスワードクオリティスケールは 6) |
7 から 12 |
推測は困難ではあるけれども、自動攻撃に対して脆弱である可能性があるパスワードを要求します。 |
pqlrtmxr, wefourkings (パスワードクオリティスケールは 8) |
13 から 16 |
ユーザーが記憶するのが難しい場合でも、強力なパスワードを要求します。 |
4891spyONu (パスワードクオリティスケールは 13) lakestreampondriverocean, stRem2pO() (パスワードクオリティスケールは 15) stream8pond1river7lake2ocean (パスワードクオリティスケールは 16) |
パスワードとスケールの設定についてのヒント
- Domino® スペルチェック辞書にある単語をパスワードに使用しないでください。通常、Domino®スペルチェック辞書にある単語を使用したパスワードは、長さが同じでスペルチェック辞書にある単語を使用していないパスワードより強度が弱いためです。
- 小文字のアルファベットだけのパスワードではなく、大文字と小文字が組み合わされている単語や、これに数字や句読点が組み合わされた単語をパスワードにしてください。文字数を多くせずにパスワードの強度を高めるには、単語の使用は避けて、大文字と小文字、句読点や数字を組み合わせるようにしてください。
- パスワードの代りにパスフレーズを使用します。完全な文章を使用し、特につづりの間違いを意図的に入れると、不正侵入者が解読しにくくなり、強力なパスワードになります。
- レベル 12 以上のパスワードを使用します。レベル 12 以上のパスワードは、自動化された攻撃に耐えることができます。レベル 4 未満のパスワードは、簡単に類推されてしまいます。
- すべての [パスワードクオリティスケール] フィールドにデフォルト値を設定して、組織内のサーバー ID、ユーザー ID、認証者 ID のパスワードの複雑さが適切なレベルになるようにします。
アルゴリズムの理解
- 大文字と小文字の混合
- 数値
- 句読点
最後の桁の数字と最初の位置の大文字は、パスワードチェックのメカニズムを回避するためにパスワードに対して行われる一般的な変更であるため、ボーナス文字としては認められません。
また、辞書にある単語や繰り返し文字など、プログラムで予測可能と判断できるものがパスワードに含まれている場合、評価は低下します。