LoginSignup
3
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 1 year has passed since last update.

@fitz(Tsuguo Ishikawa)inIBM

【IBM Security Verify】パスワード・インテリジェンス機能を使って、辞書攻撃に対応する①

Last updated at Posted at 2023-05-11

はじめに

2023年4月のアップデートで、パスワード・インテリジェンス機能管理機能とパスワード・インテリジェンス・レポート機能が実装されました。
Japan テナントはまだ機能未反映ですが、EUのテナントには機能反映されていたため、早速試してみました。
qiita (1).png

[セキュリティー] -> [パスワードの管理] -> [インテリジェンス・リスト]に設定があります。
image.png
qiita (28).png

1.機能概要

  • パスワード・インテリジェンスの管理

    • 2つの機能が追加された。2つを併用することも可能。
      • 「IBM Security X-forceを利用したパスワードの利用を制御する機能」
      • 「ユーザーが定義したカスタム・リストを用いたパスワード利用の制御する機能」
    • 制御したパスワードを利用している場合のアクションが定義できる。
      • アクションは 監査 < 警告 < 強制 の3段階ある。強制が一番高い優先度になる。

  • パスワード・インテリジェンス・レポートの生成

    • 上記パスワードインテリジェンスの動作結果をレポートする機能

2.カスタム・リストによるパスワード使用制御設定

設定できる項目はパスワードのリストデータと、2つのフローです。

項目 選択肢 補足
CSVファイル 用意したCSVファイルをアップロードする
  • サポートされるファイル・タイプは .CSV
  • 1列目のデータのみ利用されるためコンマ区切りである必要はない。
  • 最大ファイル・サイズは 500Kb設定画面では500KBと注記あるが、4MBのファイルのアップロードができた。マニュアル上は20MBと記載されている。
  • パスワードの最大数は 1,000,000
  • 改行コードはCRLF
  • comma などの特殊文字を含む値は二重引用符で囲む必要がある
  • 1行目はヘッダーで必ずpassword を指定する。
ユーザー・ログイン・フロー
  • 監査
  • メッセージでユーザーに警告します。
  • ログインを禁止し、ユーザーをパスワード変更エクスペリエンスにリダイレクトします。
アカウントの作成、パスワードのリセット、およびパスワードの変更のフロー
  • 監査
  • メッセージでユーザーに警告します。
  • アクションをブロックし、よりセキュアなパスワードを使用するようにユーザーに要求します。
 ユーザーログインフローで、「ログインを禁止し、ユーザーをパスワード変更エクスペリエンスにリダイレクトします。」を指定した場合、「アクションをブロックし、よりセキュアなパスワードを使用するようにユーザーに要求します。」が自動的に選択される。

3.カスタム・リストの生成、アップロード

OpenWallの無償版辞書をベースに、ダウンロードしたPassword_intelligence_list.csvを更新します。
無料版には約3500件くらいのデータがあります。

https://www.openwall.com/wordlists/
https://download.openwall.net/pub/wordlists/passwords/

image.png

Password_intelligence_list_mod.csvを作成しました。

password
123456
12345
password
password1
123456789
12345678
1234567890
abc123
computer
tigger
1234
qwerty
money
~~~

ファイルをアップロードします。
image.png

リスト内に同じパスワードが含まれているとアップロード時にエラーになります。
image.png

例)123456が重複
password
123456
123456
~~~

1行目のヘッダーにあたる部分がpasswordでないCSVをアップロードするとエラーになります。
image.png

例)一行目が password ではない
123456
~~~

4.ユーザー・ログイン・フロー動作確認

カスタム・リストを利用して、各アクションごとにどのような画面が表示されるか確認しました。
※動作検証のため、IBM Security Verifyのパスワード要件はパスワードの長さ:8桁のみに設定しています。

アクション ユーザー視点の画面変化 画面サンプル                           
監査 ユーザーの見た目の変化はなし qiita (3).pngqiita (4).png
メッセージでユーザーに警告します ログイン後にパスワード変更を促す画面が表示される qiita (5).png qiita (6).png qiita (7).png
ログインを禁止し、ユーザーをパスワード変更エクスペリエンスにリダイレクトします。 パスワード変更画面が表示される。 password-000022.png password-000023.png

5.パスワード変更フローの動作確認

カスタム・リストを利用して、ユーザーがパスワード変更するときに、各アクションごとにどのような画面が表示されるか確認しました。
※動作検証のため、IBM Security Verifyのパスワード要件はパスワードの長さ:8桁のみに設定しています。

項目 ユーザー視点の画面変化 画面サンプル                           
監査 ユーザーの見た目の変化はなし qiita (10).png qiita (11).png
メッセージでユーザーに警告します パスワード変更は成功する。警告が表示される。 qiita (12).png qiita (13).png
アクションをブロックし、よりセキュアなパスワードを使用するようにユーザーに要求します。 パスワード変更が失敗する。 qiita (14).png qiita (15).png

6.パスワードリセットフローの動作確認

カスタム・リストを利用して、ユーザーがパスワードリセットするときに、各アクションごとにどのような画面が表示されるか確認しました。
※動作検証のため、IBM Security Verifyのパスワード要件はパスワードの長さ:8桁のみに設定しています。

項目 ユーザー視点の画面変化 画面サンプル                           
監査 ユーザーの見た目の変化はなし qiita (16).png qiita (17).png qiita (18).png qiita (19).png qiita (20).png qiita (21).png
メッセージでユーザーに警告します パスワード変更は成功する。警告が表示される。 ※パスワードリセットURLにアクセスするまでの画面遷移は割愛します。 qiita (22).png qiita (23).png qiita (24).png
アクションをブロックし、よりセキュアなパスワードを使用するようにユーザーに要求します。 パスワード変更が失敗する。 ※パスワードリセットURLにアクセスするまでの画面遷移は割愛します。 qiita (25).png qiita (26).png

最後に

次回は、IBM Security X-forceを利用したパスワードの利用を制御する機能を確認したいと思います。

5/11 更新

3
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
3
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?