パスワードポリシーに関するよくある質問
- 対象読者:
- 管理者・担当者向け従業員向け
- 対象プラン:
- 労務管理人事・労務エッセンシャル¥0タレントマネジメントHRストラテジー
パスワードポリシーに関するよくある質問を紹介します。
目次
Q. SmartHRのパスワードポリシーは、どのような基準で定めていますか?
A. NIST(米国政府の基準)および内閣官房 内閣サイバーセキュリティセンター(NISC) の基準を参考に、セキュリティ面と利便性とのバランスを加味して定めています
各基準との比較は下記のとおりです。
| NIST SP800-63B | 内閣サイバーセキュリティセンター(NISC) | SmartHR (2022年2月16日以降) | |
|---|---|---|---|
| 最小文字数 | ユーザー設定の場合は8文字 ランダム生成の場合は6文字(全て数字も可) | ログインパスワード(Webサービス等に使うもの)の場合、10文字以上 暗号キー(パスワード付きのファイルや記憶媒体に使うもの)の場合、15文字以上 | 10文字以上 |
| 最大文字数 | 64文字以上 | - | 72文字 |
| 文字の種類 | 制限をするべきではない (システムはスペースを含む全てのASCII印字可能文 字、Unicode文字を許容するべき) | 英大小文字+数字+記号26種で合計88種 | 制限なし |
| パスワードの有効期限 | 定期変更を要求するべきではない 事故などがあった場合は変更を強制する | 基本的にパスワードの定期変更の必要はない パスワードが流出したらすぐに変更する | 有効期限なし パスワードの定期的な変更は不要 |
| パスワード連続変更禁止期間 | - | - | - |
| 過去に使用したパスワードの禁止 | - | - | - |
| 禁止パスワード | ・過去に漏洩したリストにあるもの ・辞書に含まれる言葉 ・繰り返しや連続した文字(aaaaa, 1234abcd) ・サービス名、ユーザー名、それらの派生など | パスワードの使い回しや、似たパスワード、個人情報などから推測できるパスワード を使わない | 外部データベースのAPIを利用して、過去に他のウェブサイトで漏洩したことが確認されているパスワードを禁止パスワードとして設定 |
| アカウントロックまでの失敗数 | 100回以下 ロックする前にCAPTCHAを表示したり、遅延時間を入 れても良い | - | パスワードを間違った場合、10回でロックする (5回以上間違った場合「あと何回でロック」というメッセージあり) |
| アカウントロックの期間 | - | - | - |
| 参考資料 | NIST Special Publication 800-63B Digital Identity Guidelines(翻訳版) Authentication and Lifecycle Management(2017)|NIST | インターネットの安全・安心ハンドブック(2021年12月31日 Ver.4.20)| 内閣官房 内閣サイバーセキュリティセンター(NISC) | - |
Q. パスワードの有効期限について、「有効期限なし。パスワードの定期的な変更は不要」としているのはなぜですか?
A. 下記の記事を参照してください
「定期的なパスワード変更」の歴史とは? 安心してSmartHRを使うためのTipsもご紹介|SmartHR Mag.
Q.禁止パスワード(ブロックリスト)はどのように設定されていますか?
A. 外部データベースのAPIを利用して、過去に他のウェブサイトで漏洩したと確認されているパスワードを禁止パスワード(ブロックリスト)として設定しています
ご意見をお聞かせください。
このページは役に立ちましたか?