パスワード ポリシーの[制限]タブ

目次
casso11jp
HID_password-policies-restrictions-tab
[制限]タブでは、パスワードの再使用、類似したパスワードの作成、および特定の語の使用に対するパスワード制限を設定します。
目次
[再使用]グループ ボックス
[再使用]グループ ボックスでは、ユーザが古いパスワードを再使用できるまでの経過時間および使用する必要があるパスワード数を指定します。
経過時間とパスワード数を指定した場合は、両方の条件を満たさないとパスワードを再使用できません。
: パスワード ポリシーで、以前のパスワードを再使用できるようになる条件として 365 日が経過していること、パスワードを 12 回指定していることを設定します。1 年経過した時点で、6 つのパスワードしか指定しなかった場合、ユーザはさらに 6 つのパスワードを指定しないと、最初のパスワードを再使用できません。
  • 再使用までの最短日数
    ユーザがパスワードを再使用できるまでの待機日数を指定します。
  • 再使用までの最少パスワード世代数
    ユーザがパスワードを再使用できるまでのパスワードの使用数を指定します。
[必要な変更]グループ ボックス
[必要な変更]グループ ボックスでは、新しいパスワードと古いパスワードとの間に必要な差異を指定します。
  • 前のパスワードとの差異の割合(%)
    以前のパスワードに使用した文字と異なる文字をどれだけの割合(%)で新規パスワードに含める必要があるかを指定します。この値を 100 に設定した場合は、[相違点の確認時に順序を無視] チェック ボックスをオフにしていない限り、以前のパスワードで使用していた文字を、新規パスワードではすべて使用できないことになります。このパラメータを[相違点の確認時に順序を無視]をオンにして使用した場合にどのように機能するかについては、以下の表を参照してください。
  • 差異をチェックする場合に順番を無視
    文字の割合(%)を判断する際、パスワード中での文字の位置を無視します。
    たとえば、ユーザの最初のパスワードが BASEBALL12 で、[差異をチェックする場合に順番を無視]チェック ボックスがオンになっている場合、ユーザは新規パスワードに 12BASEBALL を選択できません。このチェック ボックスをオフにした場合は、各文字の出現順序が異なっているため、12BASEBALL をパスワードに指定できます。このパラメータを[前のパスワードとの差異の割合(%)]と共に使用した場合にどのように機能するかについては、以下の表を参照してください。
    高い安全性を確保するには、[相違点の確認時に順序を無視] チェック ボックスをオンにするようにしてください。
パスワード
差異の割合 (%)
文字順を無視
Accepted
BASEBALL12 (旧)
12BASEBALL
0
1
0
Y
Y
BASEBALL12 (旧)
12BASEBALL
100
1
0
N
Y
BASEBALL12 (旧)
12SOFTBALL
0
1
0
Y
Y
BASEBALL12 (旧)
12SOFTBALL
90
1
0
N
Y
BASEBALL12 (旧)
12SOFTBALL
100
1
0
N
N
[プロファイル属性]グループ ボックス
[プロファイル属性]グループ ボックスでは、ユーザがパスワードに個人情報を使用できないように
CA Single Sign-on
を設定できます。
  • 一致文字数
    パスワード ポリシーがユーザ ディレクトリ エントリ内の属性と比較する最小連続文字数を指定します。
    : 値に 4 を設定した場合、ポリシー サーバは、パスワードがユーザの電話番号の下 4 桁で構成されていないことをチェックします。
[ディクショナリ]グループ ボックス
[ディクショナリ]グループ ボックスでは、禁止パスワードのユーザ定義ディクショナリに対してパスワードを照合するようにパスワード ポリシーを設定できます。
ポリシー サーバ ディクショナリ ファイルは、パスワードに使用できない文字列を一覧にしたものです。SECRET のようによく使用されるパスワードや、ユーザの業界にとって一般的な言葉を収録できます。たとえば、銀行の場合であれば、
Account
Savings
Checking
Money
といった語を使用禁止にします。辞書に収録されている文字列は、パスワードに使用できません。
注:
ディクショナリ ファイルは、すべてのポリシー サーバがアクセス可能なディレクトリに保存してください。辞書ファイルの最後の行は、パスワードサービスによって使用される行で、この行の後には改行が必要です。改行がないと、この行はディクショナリ検索の対象から除外されます。
  • パス
    ディクショナリ ファイルの完全パスと名前を指定します。
  • 一致文字数
    ディクショナリ ファイルの値と比較される文字列の長さを制御します。この比較では、文字列の(大文字/小文字)の区別は無視されます。[一致する長さ]フィールドに何も指定しない場合、または 0 を指定した場合は、辞書内の文字列と完全一致したパスワードだけが拒否されます。一致する長さが 0 より大きい場合は、以下の条件をすべて満たす場合にパスワード エントリが拒否されます。
    • パスワードに、辞書エントリと同じ文字の並びで開始する部分文字列が含まれている。
    • 連続して一致している文字数が、[一致文字数]フィールドで指定した数以上である。
    たとえば、以下を含む辞書ファイルがあるとします。
    • lion
    • tiger
    • bear
    [一致する長さ]フィールドが 4 に設定されていると、結果は以下のようになります。
    • 「TeddyBear」は、辞書ファイルのエントリ「bear」に一致するため、拒否されます。
    • 「prestige」は、「tige」がディクショナリ ファイルのエントリ「tiger」の最初の 4 文字と一致するため、拒否されます。
    • 「Geiger Counter」は、「iger」がディクショナリ ファイルのエントリ「tiger」の最初の 4 文字に含まれていないので、受け入れられます。