パスワードの管理では、以下を実施します。
アカウントのパスワードは、他者に容易に推察されないように、「IDと同じパスワード」や「インストール時のデフォルトパスワード」の使用を禁止します。また、パスワードには、複雑性と強度を設定します。
パスワードを不正入手された場合に備え、パスワードの定期的な変更を設定します。また、初回利用時に使用したパスワードの変更を促すため、初回利用時のパスワードの強制的な変更を設定します。
パスワードの定期的な変更を促進するため、パスワードに有効期限を設定します。
また、プロファイルと呼ぶパスワード認証のポリシーを設定することで、データベースユーザーのパスワードの状況が事前に定められたポリシーから外れた場合、データベースサーバへの接続を拒否したりパスワードの変更を強制できます。プロファイルによるパスワード運用ポリシーの設定については、“運用ガイド”の“ポリシーに基づいたログインセキュリティの管理”を参照してください。
ポイント
パスワードの設定/変更は、CERATE ROLE文またはALTER ROLE文で指定します。詳細は、“PostgreSQL Documentation”の“CREATE ROLE”および“ALTER ROLE”を参照してください。
また、passwordcheckやLDAP認証を使用することで、以下を実施することができます。
インストール時のデフォルトパスワードの変更
パスワードの有効期間の設定
パスワードの文字数や文字種のチェック
passwordcheckについては、“PostgreSQL Documentation”の“passwordcheck”を参照してください。また、LDAP認証については、“PostgreSQL Documentation”の“LDAP Authentication”を参照してください。
