ロックアウトしないようにサービスアカウントを設定する必要があります

自動ロックはオンライン辞書攻撃に対する防御メカニズムです。攻撃者は、正しいパスワードが見つかるまで、潜在的なパスワードを繰り返し試したいと考えています。 5回試行した後にブロックすると、攻撃が実際に機能しなくなります。

これは、パスワードisが辞書攻撃に対して脆弱である場合、つまりパスワードが人間の脳のプライバシーで生成された場合にのみ意味があります。そのような生物学的実体は、ランダムであることは単に得意ではありません。したがって、人間が選択したパスワードは強力ではなく、追加の保護が必要です。

serviceアカウントには、人間が選択した脆弱なパスワードを含めないでください。このようなパスワードは、設定フェーズ中にのみ管理者が入力します。管理者はnotを覚えておく必要があります。サービスアカウントのパスワードはコンピューターで生成する必要があり、非常にランダムである必要があります。 16個のランダムな文字（大文字と小文字、数字、および2つの句読記号）を使用すると、96ビットのエントロピーが得られます。これは、辞書攻撃に耐えるのに十分な量です。これは、サービスアカウントに必要なパスワードの種類です。そのようなパスワードを使用すると、自動ロックは役に立たなくなり、（ご存じのように）不便な副作用があるため、パスワードを無効にすることができます。

このようなランダムなパスワードを生成するには、任意のLinuxマシンで次のコマンドラインを使用します。

(dd if=/dev/urandom bs=12 count=1 2>/dev/null) | openssl base64 -a -e

Windowsでは、PowerShellを使用します。

$rng = New-Object System.Security.Cryptography.RNGCryptoServiceProvider
$buf = New-Object byte[] 12
$rng.GetBytes($buf)
[System.Convert]::ToBase64String($buf)