パスワードポリシーを完全に実施できない

実装できる補完的なコントロールが1つあります。ユーザーがパスワードを選択できないようにします。代わりに、ユーザーがパスワードを変更することを選択するたびに、パスワードをランダムなものに変更します。もちろん、ランダムなパスワードを知っているのはユーザーだけなので、このパスワードはすぐに変更する必要がある「初期パスワード」としてはカウントされません。

パスワードポリシーをサポートしていないシステムでこの問題を解決するために、次にできることは次のとおりです。

パスワードの変更を管理者またはITデスクに依頼することでポリシーを満たし、パスワードがポリシーに確実に適合するようにすることができます。

これは、パスワードを2に分割することで実装できます。パスワードの前半は、管理者またはITデスクに提出する必要があります。前半は、管理者またはITデスクが確認する要件を満たす必要があります。もちろん、管理者またはITデスクには、変更後、たとえばシュレッダーを使用して、パスワードを破棄する手順が必要です。

後半は自由形式で、少なくとも8文字が含まれている必要があります。これは管理者やITデスクには明らかにされません。パスワードのこの部分は、ポリシーを満たす必要はありません。

ユーザーのパスワード変更が整理され、ユーザーが管理者またはITデスクに来て、Xシステムへのパスワードの変更を要求します。彼らはパスワードの最初の部分を伝えたり書き留めたりして、机に見せなければなりません。次に、ITデスクまたは管理者は、表示されたパスワードの部分がポリシーを満たしていることを確認します。 ITデスクまたは管理者は、パスワードの変更ダイアログにパスワードの最初の部分を入力します。

次に、ユーザーは2番目の部分を入力する必要がありますが、ITデスクや管理者はこれを見る必要はありません。もちろん、ユーザーはITデスクによって入力されたパスワードの一部を消去または変更したり、許可なく移動したりすることはできません。 （これは、キーボードのすべてのファンクションキー（バックスペース、タブ、挿入、削除、入力、alt、ctrlなど）を無効にし、ロックを無効にするためにマウスを必要とすることで実現できます。ユーザーが自分の部分を入力する時間）

ユーザーが2番目の部分を入力すると、「***************」と表示されるため完全なパスワードが表示されないITデスクまたは管理者は、最初の部分を入力します。もう一度、「パスワードの確認」ダイアログで。ユーザーが2番目の部分をもう一度入力すると、このプロセスが再び繰り返されます。

次に、IT管理者またはITデスクが[送信]を押すと、パスワードが変更されます。

これにより、PCI DSSによるすべての要件が満たされますが、ITデスクまたは管理者が個々のユーザーパスワードを知ることができなくなり、ITデスクまたは管理者がパスワードの最初の部分がPCI DSSルールを満たしていることを確認できるようになります。 、および最後の4つのパスワードと一致しないことを確認します。最後の4つのパスワードはハッシュとして保存できます。ITデスクまたは管理者は最初に最初の部分をハッシュし、最後の4つのハッシュと一致しないことを確認します。

このスキームを使用すると、補正コントロールを提出する必要はありません。

3番目にできることは、ユーザーが通常のWindowsパスワードを使用するシングルサインオンソリューションを実装して、パスワードポリシーをサポートしないサービスにサインオンすることです。これは通常、シングルサインオンソリューションに非常に長く、非常に安全なランダムパスワードを設定することで実現されます。このパスワードは、シングルサインオンソフトウェアとパスワードポリシーをサポートしないサービスの間で使用されます。このパスワードは「キー」と見なすことができます。これは、PCI DSSの変更期間が長く（1年はPCI DSSのキーローテーション用です）、この「キー」はシングルサインオンソリューション間で使用されます問題のサービス。