パスワードポリシーに関するよくある質問
- 대상독자:
- 관리자・담당자 용직원 용
- 플랜:
- 노무관리인사・노무 엣센셜프로페셔널0엔탤런트 매니지먼트HR 스트래티지
本ページでは、パスワードポリシーに関するよくある質問を紹介します。
목차
- パスワードポリシーに関する質問
- 2022年2月からの新しいパスワードポリシーへの移行に関する質問
パスワードポリシーに関する質問
Q. SmartHRのパスワードポリシーは、どのような基準で定めていますか?
A. NIST(米国政府の基準)および内閣官房 内閣サイバーセキュリティセンター(NISC) の基準を参考に、セキュリティ面と利便性とのバランスを加味して定めています
各基準との比較は下記のとおりです。
NIST SP800-63B | 内閣サイバーセキュリティセンター(NISC) | SmartHR (2022年2月16日以降) | |
---|---|---|---|
最小文字数 | ユーザー設定の場合は8文字 ランダム生成の場合は6文字(全て数字も可) | ログインパスワード(Webサービス等に使うもの)の場合、10文字以上 暗号キー(パスワード付きのファイルや記憶媒体に使うもの)の場合、15文字以上 | 10文字以上 |
最大文字数 | 64文字以上 | - | 72文字 |
文字の種類 | 制限をするべきではない (システムはスペースを含む全てのASCII印字可能文 字、Unicode文字を許容するべき) | 英大小文字+数字+記号26種で合計88種 | 制限なし |
パスワードの有効期限 | 定期変更を要求するべきではない 事故などがあった場合は変更を強制する | 基本的にパスワードの定期変更の必要はない パスワードが流出したらすぐに変更する | 有効期限なし パスワードの定期的な変更は不要 |
パスワード連続変更禁止期間 | - | - | - |
過去に使用したパスワードの禁止 | - | - | - |
禁止パスワード | ・過去に漏洩したリストにあるもの ・辞書に含まれる言葉 ・繰り返しや連続した文字(aaaaa, 1234abcd) ・サービス名、ユーザー名、それらの派生など | パスワードの使い回しや、似たパスワード、個人情報などから推測できるパスワード を使わない | 外部データベースのAPIを利用して、過去に他のウェブサイトで漏洩したことが確認されているパスワードを禁止パスワードとして設定 |
アカウントロックまでの失敗数 | 100回以下 ロックする前にCAPTCHAを表示したり、遅延時間を入 れても良い | - | パスワードを間違った場合、10回でロックする (5回以上間違った場合「あと何回でロック」というメッセージあり) |
アカウントロックの期間 | - | - | - |
参考資料 | NIST Special Publication 800-63B Digital Identity Guidelines(翻訳版) Authentication and Lifecycle Management(2017)|NIST | インターネットの安全・安心ハンドブック(2021年12月31日 Ver.4.20)| 内閣官房 内閣サイバーセキュリティセンター(NISC) | - |
Q. 文字の種類に制限がないのはなぜですか?
A. セキュリティに関する最新のトレンドでは、文字の種類を制限するよりも、文字数が長いパスワードを推奨しているためです
Q. パスワードの有効期限について、「有効期限なし。パスワードの定期的な変更は不要」としているのはなぜですか?
A. 下記の記事を参照してください
「定期的なパスワード変更」の歴史とは? 安心してSmartHRを使うためのTipsもご紹介|SmartHR Mag.
Q. 禁止パスワード(ブロックリスト)はどうやって設定されていますか?
A. 外部データベースのAPIを利用して、過去に他のウェブサイトで漏洩したことが確認されているパスワードを禁止パスワード(ブロックリスト)として設定しています
2022年2月からの新しいパスワードポリシーへの移行に関する質問
Q. パスワードの変更対象は誰ですか?
A. SmartHRを利用しているすべてのユーザー(管理者、従業員(退職済み従業員も含む))です
Q. パスワードの変更期限はありますか?
A. はい。新しいパスワードへの移行期間は、2022年2月16日〜2022年5月19日までです
移行期間中に、自身でパスワード変更をお願いします。
移行期間中に新しいパスワードに変更しなかった場合は、次回ログイン時に新しいパスワードを設定する画面に自動で移動します。
Q. パスワード設定済みなのに、ログインしたらパスワード設定画面が表示された
Q. 既存のパスワードが新しいパスワードポリシーを満たしている場合も変更は必要ですか?
A. はい。必要です
現在、新しいパスワードポリシーを満たしたパスワードを設定している場合も、パスワード変更の対象となります。
ただし、同じパスワードを再設定して継続利用が可能です。
パスワードの変更手順を教えてください。
A. 下記のヘルプページを参照してください
Q. パスワード設定済みなのに、ログインしたらパスワード設定画面が表示された
Q. 管理者が設定する社員番号アカウントの初期パスワードも、最小文字数が10文字に変更になりますか?
A. いいえ。社員番号アカウントの初期パスワードは、最小文字数が8文字のまま変更ありません
管理者が設定した8文字の初期パスワードを従業員が変更する際には、10文字以上でパスワードを設定することになります。
なお、従業員が設定したパスワードを忘れて管理者がリセットする場合は、初期パスワード(8文字で設定していた場合は8文字)に戻ります。
Q. 変更したパスワードを忘れてしまった場合、どうすればよいですか?
A. 下記のヘルプページを参照してください
「ログイン用のパスワードを忘れてしまった場合」と、「社員番号を使ってログインをしていて、ログイン・通知用メールアドレスが未登録の状態でパスワードを忘れてしまった場合」で対応方法が異なります。
詳しくは、下記のヘルプページを参照してください。