Interstage Application Server セキュリティシステム運用ガイド

目次 索引

1.1.3.4 パスワードアタックへの対策

　認証時に使用するパスワードは、盗まれて不正に利用される危険があります。パスワードを盗む攻撃には、ハッキングツールを使用した総当り攻撃や辞書攻撃があります。より安全にシステムを運用するためには、利用者に次のような運用指導を行う必要があります。
　実際には、対象となるシステムの運用要件やセキュリティポリシを加味してルールを決定し、運用指導を行ってください。

推測されにくいパスワード

　パスワードは、他人に推測されにくいものである必要があります。また、ツールなどによる機械的な分析で割り出しにくいものである必要があります。
　推測されにくいパスワードとは、以下の条件を満たしたものです。

• 名前や生年月日などの個人情報から推測できない。
• 可能な限り長い文字列にする。
• アルファベットの大文字と小文字、さらに数字、記号を混在させる。
• 単語をそのまま使用しない。
• 同じ文字の繰り返しなどの簡単な文字列でない。

パスワードの管理方法

　パスワードは、絶対に他人に知られないようにしなければなりません。次のような行為は極めて危険です。

• 他人にパスワードを教える。
• パスワードのメモを他人の目に触れる場所におく。
• パスワードをWebブラウザなどに記憶させる。

パスワードの定期的な変更

　上記2点について注意したとしても、パスワード漏洩の可能性はあります。そのため、パスワードを定期的に変更することで、安全に運用することが可能となります。

　Interstage シングル・サインオンでは、パスワードの変更機能を提供していません。パスワードの変更については、使用するシステムのルールにしたがい、適切な頻度で変更するよう運用指導してください。
　パスワードが他人に推測された場合や盗まれた場合には、すべての業務サーバを停止し、以下の操作で設定した再認証の間隔が経過したことを確認してください。

• SSOリポジトリのユーザ情報の"ssoCredentialTTL"に設定した利用者ごとの認証情報の有効期間。
• 認証サーバの定義ファイルの"default-credential-expiration-time"に設定した認証情報の標準の有効期間。

　再認証の間隔が経過した後に、推測された、または盗まれたパスワードを変更し、すべての業務サーバを起動し直してください。

目次 索引