複雑さの要件を満たす必要があるパスワード

適用対象

  • Windows 10

[複雑さの要件を満たす必要があるパスワード] セキュリティ ポリシー設定のベスト プラクティス、場所、値、およびセキュリティに関する考慮事項について説明します。

リファレンス

[複雑さの要件を満たす必要があるパスワード] ポリシー設定は、パスワードが一連の強力なパスワードのガイドラインを満たす必要があるかどうかを決定します。 この設定を有効にすると、次の要件を満たすパスワードが必要になります。

  1. ユーザーの SAM アカウント名 ([アカウント名] の値) と表示名 ([氏名] の値) をパスワードに含めることはできません。 どちらのチェックも大文字と小文字を区別しません。

    samAccountName は、パスワードの一部であるかどうかを判断するためにのみチェックされます。 SAM アカウント名が 3 文字未満の場合、このチェックはスキップされます。 表示名は解析されて区切り記号 (コンマ、ピリオド、ダッシュ、ハイフン、アンダースコア、空白、シャープ記号、タブなど) の有無が調べられます。 これらの区切り記号が見つかった場合、表示名は分割され、解析されたセクション (トークン) はすべてパスワードに含まれていないと確認されます。 3 文字より短いトークンは無視され、トークンの部分文字列はチェックされません。 たとえば、"Erin M. Hagens" という名前は、"Erin"、"M"、"Hagens" という 3 つのトークンに分割されます。 2 つ目のトークンは 1 文字しかないため無視されます。 そのため、このユーザーは、"erin" や "hagens" を含んだパスワードを使用できません。

  2. パスワードは、次のカテゴリのうち 3 つに該当する文字を含んでいる必要があります。

    • ヨーロッパ言語の大文字 (A - Z、識別記号を含む、ギリシャ文字、キリル文字)
    • ヨーロッパ言語の小文字 (a - z、シャープ s、識別記号を含む、ギリシャ文字、キリル文字)
    • 10 進法の数字 (0 - 9)
    • 英数字以外の文字 (特殊文字): (~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/) ユーロや英国ポンドなどの通貨記号は、このポリシー設定の特殊文字としてカウントされません。
    • アルファベット文字として分類されますが、大文字または小文字ではない Unicode 文字。 このグループには、アジア言語の Unicode 文字が含まれます。

複雑さの要件は、パスワードの変更時や作成時に適用されます。

Windows Server のパスワードの複雑さに関する要件に含まれている規則は Passfilt.dll の一部となっており、直接変更を加えることはできません。

有効にすると、既定の Passfilt.dll では、ユーザーがアルファベットの文字のみを含むパスワードに慣れるため、ロックアウトされたアカウントに対する追加のヘルプ デスク呼び出しが発生する可能性があります。 しかし、このポリシー設定は自由で、すべてのユーザーが慣れる必要があります。

カスタム Passfilt.dll に、非上段文字の使用を別途含めることができます。 上段文字を入力するには、Shift キーを押しながら、キーボードの番号行 (1 - 9 と 0) のいずれかのキーを押します。

  • 有効
  • 無効
  • 未定義

ベスト プラクティス

ヒント

最新のベスト プラクティスについては、「パスワード ガイダンス」を参照してください。

[複雑さの要件を満たす必要があるパスワード] を [有効] に設定します。 このポリシー設定に、パスワードの最小文字数 (8 文字) を組み合わせることで、1 つのパスワードにつき少なくとも 218,340,105,584,896 とおりのパターンを確保することができます。 この設定により、ブルート フォース攻撃は難しくなりますが、それでも不可能ではありません。

Alt キー文字の組み合わせによって、パスワードの複雑度を大幅に高めることができます。 ただし、組織内のすべてのユーザーにこのような厳しいパスワード要件を遵守するように要求する場合、ユーザーが不満を感じ、ヘルプ デスクが過剰に機能する可能性があります。 0128 - 0159 の範囲の Alt 文字を使用する要件は、管理者パスワード用途に限定して組織に導入することを検討してください。 (その範囲内以外の Alt 文字は、パスワードに複雑さを追加しない標準の英数字を表す場合があります。)

英数字のみから成るパスワードは、だれでも入手できるツールによって簡単に破られてしまいます。 それを防ぐために、パスワードには他の文字を含め、複雑さの要件を満たす必要があります。

場所

コンピューターの構成\Windows の設定\セキュリティ設定\アカウント ポリシー\パスワード ポリシー

既定値

次の表に、実際のポリシー値と有効な既定のポリシー値を示します。 既定値は、このポリシーのプロパティ ページにも表示されます。

サーバーの種類またはグループ ポリシー オブジェクト (GPO) 既定値
既定のドメイン ポリシー 有効
既定のドメイン コントローラー ポリシー 有効
スタンドアロン サーバーの既定の設定 無効
ドメイン コントローラーの有効な既定の設定 有効
メンバー サーバーの有効な既定の設定 有効
クライアント コンピューターでの GPO の有効な既定の設定 無効

セキュリティに関する考慮事項

このセクションでは、攻撃者が機能や構成をどのように悪用するかと、対抗策の実装方法、対抗策を実施した結果として生じる可能性のある悪影響について説明します。

脆弱性

英数字のみから成るパスワードは、だれでも入手できるいくつかのツールを使って簡単に破ることができます。

対抗策

[複雑さの要件を満たす必要があるパスワード] ポリシー設定は [有効] にし、さまざまな文字の組み合わせをパスワードに使うようユーザーに促してください。

[パスワードの最小文字数] (8 文字) を組み合わせることで、1 つのパスワードにつきさまざまな数のパターンがあるため、ブルート フォース攻撃は困難 (可能ではある) となります。 ([パスワードの最小文字数] ポリシー設定を増やすと、攻撃が成功するために必要な平均時間も増加します。)

潜在的な影響

パスワードの複雑さを既定の構成のままにすると、アルファベット以外の文字を含んだパスワードを使うことにユーザーが慣れておらず、アカウントのロックアウトでヘルプ デスクへの問い合わせが増えたり、アクセント付き文字や記号を含んだパスワードを各種レイアウトのキーボードで入力するやり方がわからずユーザーが困惑したりする可能性があります。 とはいえ複雑さの要件には、すべてのユーザーが最小限の手間に従うことができることが必要です。

それよりも厳しいセキュリティ要件が求められる組織では、パスワードの安全性ルールに任意の複雑さを持たせた独自のバージョンの Passfilt.dll ファイルを作成することができます。 たとえばカスタム パスワード フィルターで、非上段記号の使用を必須とすることが考えられます。 (上段記号は、Shift キーを押したまま、キーボードの番号行のキー、1 から 9 と 0 のいずれかを押す必要がある記号です。) また、カスタム パスワード フィルターは辞書チェックを実行して、提案されたパスワードに共通の辞書の単語やフラグメントが含まれていないことを確認する場合があります。

Alt キー文字の組み合わせによって、パスワードの複雑度を大幅に高めることができます。 ただし、そのような厳格なパスワード要件を設定すると、ヘルプ デスクへの問い合わせが増加する可能性があります。 0128 - 0159 の範囲の Alt 文字を使用する要件は、管理者パスワード用途に組織に導入することを検討してください。 (この範囲内以外の Alt 文字は、パスワードに複雑さを追加しない標準の英数字を表す場合があります。)

関連記事