IA-5(1)(b)をWindowsシステムに適用するにはどうすればよいですか?
注: Windows以外のシステムでのこの問題 についても質問を投稿しました。
NIST SP 800-53 Rev. 3では、IA-5は「Authenticator Management」に対応するコントロールです。このコントロールの要件には、パスワードの長さ、複雑さ、有効期間、履歴の適用などが含まれます、およびパスワードの適切な保管/送信。
すべての(低/中/高)システムに選択されているこのコントロールの最初の拡張には、次の要件が含まれます。
パスワードベースの認証のための情報システム:
...
(b)新しいパスワードが作成されると、少なくとも[割り当て:組織定義の変更文字数]が適用されます。
Windowsシステムでは、定期的に変更され、特定の数の古いパスワードに正確に一致しない長くて複雑なパスワードを適用する方法を知っています。しかし、新しいパスワードごとに特定の文字数を変更することを要求するポリシーをどのように実装しますか?
唯一の方法は、独自のカスタムパスワードフィルターを作成することです。
あなたのためにこれを行うサードパーティ製品もたくさんあります。
- http://nfrontsecurity.com/products/nfront-password-filter/
- http://www.anixis.com/products/ppe/default.htm
Windows 2008のパスワードの複雑さでさえチェックするのは次のものだけです。
- パスワードには、ユーザーのアカウント名や、ユーザーのフルネームの2文字を超える部分を含めることはできません。
- パスワードは6文字以上でなければなりません。
- パスワードには、次の4つのカテゴリのうち3つからの文字を含める必要があります。
- 英語の大文字(AからZ)。
- 英語の小文字(aからz)。
- 基数10桁(0から9)。
- アルファベット以外の文字(たとえば、!、$、#、%)。
http://technet.Microsoft.com/en-us/library/cc264456.aspx
ユーザー教育とパスワードマネージャーを提供するこのデフォルトの複雑性チェックは、ほとんどの企業がリスクを軽減するのに十分です。
誰かがChelseaFC01、ChelseaFC02、ChelseaFC03を設定し、これがソーシャルエンジニアリングを通じて推測されていることを本当に心配している場合、つまり攻撃者がユーザーがChelseaを気に入っていることを発見し、この組み合わせを循環することで、パスワードだけに頼るのをやめることができます。適応認証などの2つの要素を実装します。たとえば、複数のパスワードの失敗を監視することもできます。 8回試行すると、Active Directoryログを介して成功し、これらを調査します。
これはWindows 2008で変更された可能性があると思いますが、以前のバージョンのWindowsでは、この種のことはカスタムパスワードフィルター(passfilt.dll)やカスタムログインエージェントを介して行われていました。