PCI DSSパスフレーズで同等の最小パスワード強度

QSAまたは他の監査人がここで提供されたすべての回答を受け入れる保証はありませんが、一般的に選択を正当化できれば、それらの確率を向上させることができます。だから私はできる限り最高の議論を提供します。

小文字のアルファベット、大文字のアルファベット、数字からランダムに生成された7文字のパスワードは、62 ^ 7、または約3,521,614,606,208の可能な組み合わせを提供します。これも約42ビットの可能性に変換されます。標準ではそうではありませんが、アルファベットの大文字と小文字が区別される（大文字と小文字が異なるなど）と言うのは控えめに言っています。

したがって、私があなたの状況で行うことは、小文字だけを使用する場合に、可能なランダムパスワードの同等数を提供するために必要な長さを計算することです。これは26 ^ X≥3.5兆であり、Xは最小で9文字の長さになります。 15文字の最小長という目標を達成すると、70ビットの強度になります。これは、元の42ビットよりも大幅に改善されています。

これらの数値は、このレベルの強度を提供するためにランダムなパスワードについて話していることを想定しています。これは、ほとんどの環境では一般的ではありません。このようなほとんどのポリシーでは、「Muffins19」などのパスワードや「Ilovemydogmuffins」などのパスフレーズをユーザーが選択することになります。この現実では、パスワードとパスフレーズの強度を比較することは難しいので、回避することをお勧めします。しかし、少なくとも、ユーザーにランダムなパスフレーズを生成するためのパスワードマネージャーまたはその他のソフトウェアを提供することにより、適切なパスフレーズの構築方法を奨励することができます。