web-dev-qa-db-ja.com

パスワードの長さを指定する規制は?

読みました:

  • PCI DSS 1.2
  • SOX 404
  • AR 25-2
  • ISO 27001

ただし、PCI DSSのみが最小パスワード長を指定します。

業界ごとにパスワードの長さを規定するその他の規制はありますか?

NISTのドキュメントでは、特定の長さと複雑さの影響について説明しています[NIST SP 800-63bは、パスワードの長さに関するガイダンスを提供するようになりました]。OWASP、SANSなどは、パスワードの最小値について意見を述べていますが、できませんでした公式とは見なされません。

さまざまな長さの推奨事項や影響を探すのではなく、特定の長さを必要とする実際の規制。この質問の目的では、規制が適切であるかどうかは問題ではありません。一部の規制機関は、パスワードは少なくとも特定の長さでなければならないと述べています。

passwordspassword-policyregulation
15
schroeder

米国国立標準技術研究所(NIST)が米国政府の構成ベースライン( [〜#〜] usgcb [〜#〜] 、以前は連邦デスクトップコア構成またはFDCCと呼ばれていた)を公開していると思います- checklists 。これは、米国連邦機関のパスワードの複雑さ、有効期間、および履歴の要件を指定します。また、インターネットセキュリティセンター(CIS)は、同様の推奨事項を含むさまざまなプラットフォームのベンチマークを公開しています。

2つの間の最高点は次のとおりです。

  • 12文字以上。
  • 少なくとも3つの文字タイプ。
  • 60日で有効期限。
  • 最短1日。
  • 24個のパスワードを再利用することはできません。
  • 一部のOS固有の追加要件が適用される場合があります。

これらの設定はOSレベルで適用されます。どちらの組織にも、アプリケーションまたはWebサイトをターゲットとする同様の仕様があるかどうかはわかりませんが、これらの要件の対象となるほとんどの組織は、OSと同じ要件を使用するだけでしょう。

上記の用語をGoogleで検索すると、豊富な情報が表示されます。 (後で自分でここにリンクを追加するか、他の人が自由にリンクを編集できます。)

14
Iszi

正直に言うと、これらすべての標準の「公式ドキュメント」は不完全であり、業界のCISSPとしては本当に煩わしいです。

私の見方では、ソフトウェアに既知の脆弱性がある場合、誰もあなたを承認しないでしょう。この権限はコミュニティ緊急対応チーム(CERT)であり、CERTは脆弱性のCVE番号を発行します。すべてのCERTは Common Weakness Enumeration システムを使用して、ソフトウェアの脆弱性を分類します。

CWE-521-弱いパスワードの要件 があり、以下がリストされています。

  1. 最小長と最大長。
  2. 混合文字セットが必要です(英字、数字、特殊文字、大/小文字混合)。
  3. ユーザー名を含めないでください。
  4. 有効期限;
  5. パスワードの再利用はありません。

CWEシステムはツリーであり、CWE-521の親は CWE-255資格情報管理 であることに注意してください。

12
rook

該当するかどうかに関係なく、規制機関を探しているので、 国防総省命令8500.2 、情報保証実装は次のように述べています。

個々の識別子としてログオンIDを使用するシステムの場合、パスワードは、大文字、小文字、数字、特殊文字を組み合わせた8文字以上の大文字と小文字を区別したもので、それぞれ少なくとも1つ(例: emPagd2!)。新しいパスワードを作成するときは、少なくとも4文字を変更する必要があります。

4
Purge

NIST SP 800-63b [ドラフト中]は、認証レベルのさまざまなレベルでのパスワードの詳細なガイダンスを提供します。

記憶された秘密(別名「パスワード」)は、サブスクライバーが選択した場合、長さが8文字以上である必要があります。 CSPまたは検証者によってランダムに選択された記憶された秘密は、長さが少なくとも6文字で、完全に数値である可能性があります(SHALL)。

2
schroeder

連邦規制のほとんどは、意図的にあいまいです。彼らはあなたが安全である必要があると言いますが、その方法についての具体的な指示を与えません。 PCI-DSSは、クレジットカードを使用してビジネスを行うために署名する必要がある契約です。クレジットカード会社に盗まれたクレジットカード取引の負担を課す公正信用報告法のようなもののために、あなたは彼らの尻がvery特定で測定可能であることに賭けます。

あなたの質問に直接答えるために、いいえ、PCI-DSS以外の測定可能なセキュリティ制御を指定する他の規制や契約については知りません。記載されている答えのほとんどは、あなた/あなたの会社がcanに規定しているものですが、そうではありませんrequiredです。 PCI-DSS、HIPAA、SOX、GLBAは、クレジットカード、健康情報、株式公開、金融のいずれを扱うかに応じて必要です。あなたが考慮しなければならないいくつかの法定または国際法があるかもしれません、そしてそれらはvery特定および/またはvery混乱する可能性があります。特にカナダでは、契約を通じて、国、州の規制または一部の省に基づいてプライバシー管理を実施する必要があるかどうかを判断しようとする場合。

1
user2093071

パスワードの複雑さに関して私が見た中で最高の規制は、他の規制によって参照されているCISガイドラインにあります。ただし、「上記の設定は1つの可能なポリシーです。これらの値を変更して、組織のパスワードポリシーに準拠するようにしてください。」ここからの例 https://benchmarks.cisecurity.org/tools2/linux/CIS_CentOS_Linux_7_Benchmark_v1.1.0.pdf

6.3.2 pam_pwqualityを使用したパスワード作成要件パラメーターの設定(スコア)

プロファイルの適用性:

  • レベル1

説明:pam_pwqualityモジュールは、パスワードの強度をチェックします。これは、パスワードが辞書の単語ではないこと、特定の長さであること、文字の組み合わせ(アルファベット、数字など)が含まれていることなどのチェックを実行します。以下は、pam_pwquality.soオプションの定義です。

  • try_first_pass-以前のスタックされたPAMモジュールからパスワードを取得します。利用できない場合は、ユーザーにパスワードを要求します。
  • retry = 3-失敗を送り返す前に3回の試行を許可します。

/etc/security/pwquality.confファイルには、次のオプションが設定されています。

  • minlen = 14-パスワードは14文字以上である必要があります
  • dcredit = -1-少なくとも1桁を提供します
  • ucredit = -1-少なくとも1つの大文字を提供します
  • ocredit = -1-少なくとも1つの特殊文字を提供します
  • lcredit = -1-少なくとも1つの小文字を提供します
1
etherealsolid