パスワードの長さ
[パスワードの長さ] セキュリティ ポリシー設定のベスト プラクティス、場所、値、ポリシー管理、およびセキュリティに関する考慮事項について説明します。
リファレンス
[パスワードの長さ] ポリシー設定は、ユーザー アカウントのパスワードを構成できる最小文字数を決定します。値は 1 ~ 14 文字で設定するか、文字数を 0 に設定してパスワードを不要にします。
設定可能な値
0 ~ 14 のユーザーが指定した文字数
未定義
ベスト プラクティス
[パスワードの長さ] の値を 8 以上に設定します。文字数を 0 に設定すると、パスワードは要求されません。ほとんどの環境で、8 文字のパスワードは適切なセキュリティを確保できる程度に長く、ユーザーが覚えられる程度に短いため推奨されます。この値でブルート フォース攻撃に対する十分な保護を提供できます。複雑さの要件を追加すると、辞書攻撃の可能性を減らすことができます。詳しくは、「複雑さの要件を満たす必要があるパスワード」をご覧ください。
短いパスワードはパスワードに対する辞書攻撃またはブルート フォース攻撃を実行するツールによって簡単に突破される場合があるため、短いパスワードを許可するとセキュリティが低下します。非常に長いパスワードを要求すると、パスワードの入力ミスにつながり、アカウント ロックアウトが発生し、それに伴うヘルプ デスクへの問い合わせが増加する場合があります。
また、極端に長いパスワードを要求すると、ユーザーは忘れないように書き留める可能性が高くなるため、実際には組織のセキュリティが低下する場合があります。ただし、"I want to drink a $5 milkshake" (5 ドルのミルクシェークが飲みたい) などのパスフレーズを使用できることをユーザーに周知すると、ユーザーはより簡単にパスワードを覚えられるようになります。
場所
コンピューターの構成\Windows 設定\セキュリティの設定\アカウント ポリシー\パスワードのポリシー
既定値
次の表に、実際のポリシー値と有効な既定のポリシー値を示します。既定値はポリシーのプロパティ ページにも表示されます。
| サーバーの種類またはグループ ポリシー オブジェクト (GPO) | 既定値 |
|---|---|
既定のドメイン ポリシー |
7 文字 |
既定のドメイン コントローラー ポリシー |
未定義 |
スタンドアロン サーバーの既定の設定 |
0 文字 |
ドメイン コントローラーの有効な既定の設定 |
7 文字 |
メンバー サーバーの有効な既定の設定 |
7 文字 |
クライアント コンピューターでの GPO の有効な既定の設定 |
0 文字 |
ポリシー管理
このセクションでは、このポリシーの管理をサポートする機能、ツール、およびガイダンスについて説明します。
再起動の必要性
なし。このポリシーに対する変更がローカルに保存された場合、またはグループ ポリシーを通じて配布された場合、その変更はデバイスを再起動しなくても有効になります。
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
脆弱性
パスワード攻撃の種類としては、辞書攻撃 (一般的な単語や語句の使用を試みる) やブルート フォース攻撃 (考えられるすべての文字の組み合わせを試みる) があります。また攻撃者は、アカウントとパスワードを見つけ出すツールを使用するために、アカウント データベースの取得を試みる場合もあります。
対策
ポリシー設定は 8 以上の値に構成します。文字数を 0 に設定すると、パスワードは要求されません。
ほとんどの環境で、8 文字のパスワードは適切なセキュリティを確保できる程度に長く、ユーザーが覚えられる程度に簡単なため推奨されます。この構成でブルート フォース攻撃に対する十分な保護を提供できます。[複雑さの要件を満たす必要があるパスワード] ポリシー設定を [パスワードの長さ] 設定に加えて使うと、辞書攻撃の可能性を減らすことができます。
注
地域によっては、セキュリティ規制の一環として、パスワードの長さに法的要件を定めている場合があります。
潜在的な影響
極端に長いパスワードを要求すると、ユーザーはセキュリティ保護されていない場所に情報を放置したり、なくしたりする場合があるため、実際には組織のセキュリティが低下する場合があります。非常に長いパスワードを要求すると、パスワードの入力ミスによって、アカウント ロックアウトが発生し、ヘルプ デスクへの問い合わせが増加する場合があります。パスワードの長さの要件が原因でパスワードが忘れられる問題が組織で発生している場合は、ユーザーにパスフレーズを周知することを検討してください。多くの場合、パスフレーズは覚えやすく、文字の組み合わせが増加するために、解読しづらくなります。