ユーザーのパスワードを無効にする前に、何回試行する必要がありますか？

この質問は、何年にもわたってStackExchangeネットワーク全体で何度も尋ねられてきました。回答の概要は次のとおりです。

• この問題についての明確な研究はありません。
• 金融業界でPCIに準拠する必要がある場合、制限は6回です。
• 総当たり攻撃は、アルゴリズムを使用して認識できます。 このガイドに従って、自動パスワード試行を検出するアルゴリズムを作成します 。
• 人間の攻撃者が被害者の知識に基づいてパスワードを推測することを防ぐために、アカウントロックアウトとパスワード試行の制限が設けられています。

推奨事項

• Microsoftは4回以上10回以下の試行を推奨しています 。
• 重複したパスワードの試行をカウントしないでください（おそらく、ユーザーは入力ミスと考えていました）。
• プライマリパスワードについてパスワードのヒントを作成し、（弱い）セカンダリはありません
• 信頼できる当事者がユーザーを保証できるようにして、ユーザーがパスワードを変更できるようにします。
• 時間を増やしながらアカウントをロックする
• ユーザーにパスワード規則を思い出させます。
• アカウントを完全に無効にするのではなく、30分間ロックアウトします。
• アカウントをロックする代わりに、追加のセキュリティの質問をユーザーに提示します。
• CAPSロックがオンになっていることを確認します（ただし、モバイルでは問題ありません）。

完全な議論を参照してください なぜサイトは3回のパスワード試行の失敗後にロックを実装するのですか？ Security.SEで。

私の個人的な推奨事項

私は、人々が頻繁に資格情報を忘れてしまい、システムを覚えておくほど頻繁にシステムを使用しないため、設計が不十分なシステムを扱っています。システムは、5回の試行が失敗した後（おそらく）、ユーザーアカウントを自動的にロックします。ロックを使用するには、私のチームのメンバーが管理コンソールにアクセスし、ユーザーパスワードを手動でリセットし、一時パスワードを使用して手動でメールを送信する必要があります。無駄な時間は恐ろしいですが、システムはベンダーによって提供されており、変更することはできません。

どちらのシステム、プロトコル、ワークフローを使用する場合でも、現場のユーザーがアカウントへのアクセスを復元するのに15分も待つ余裕がないようにする必要があります。したがって、セルフサービスの再アクティブ化プロセスを作成する必要があります。パスワードリセットリンクを含むメールをユーザーに送信するだけの簡単な場合もあります。

また、すべてのシステムステータスインジケーターを追跡します。

1. 資格情報が受け入れられていません
2. パスワードのリセット手順が記載されたメールが送信されました。
3. アカウントがロックされるまでの残りの試行回数。
4. アカウントロックの通知と次に何を期待するかの簡単な説明。