はじめに
前回 カスタムパスワードリストを用いたパスワード利用制御について紹介しました。
今回は、もうひとつの「IBM Security X-forceを利用したパスワードの利用を制御する機能」でどのようなパスワードが制限されるか確認しました。
1.機能概要
-
- 2つの機能が追加された。2つを併用することも可能。
- 「IBM Security X-forceを利用したパスワードの利用を制御する機能」
- 「ユーザーが定義したカスタム・リストを用いたパスワード利用の制御する機能」
- 制御したパスワードを利用している場合のアクションが定義できる。
- アクションは 監査 < 警告 < 強制 の3段階ある。強制が一番高い優先度になる。
- 2つの機能が追加された。2つを併用することも可能。
-
- 上記パスワードインテリジェンスの動作結果をレポートする機能
2.IBM Security X-forceによるパスワード使用制御設定
設定できる項目はユーザー・ログインフローと、アカウントの作成、パスワードのリセット、およびパスワードの変更のフローの2つがありました。
| 項目 | 選択肢 | 補足 |
|---|---|---|
| ユーザー・ログイン・フロー |
|
ー |
| アカウントの作成、パスワードのリセット、およびパスワードの変更のフロー |
|
ユーザーログインフローで、「ログインを禁止し、ユーザーをパスワード変更エクスペリエンスにリダイレクトします。」を指定した場合、「アクションをブロックし、よりセキュアなパスワードを使用するようにユーザーに要求します。」が自動的に選択される。 |
3.パスワード利用制御の動作確認
IBM Security X-forceのパスワードリストは公開されていないため、どのようなパスワードが利用制御の対象となるのか確認してみました。
※動作検証のため、IBM Security Verifyのパスワード要件はパスワードの長さ:8桁のみに設定しています。
リトアニアのセキュリティ企業であるNord Securityが調査した2022年に日本でよく利用されたパスワードの情報をもとに、IBM Security X-forceの除外パスワード・リストに該当するかどうか試してみました。
以下は、2023/5/10に各1回ずつの試行結果になります。
| 利用制限されたパスワード例 |
|---|
| password |
| 12345678 |
| 123456789 |
| 1qaz2wsx |
| adgjmptw |
| diskunion |
| himawari |
| zaq12wsx |
| abcd1234 |
| lovelove |
| hanahana |
| qwertyuiop |
| varun@1971 |
| 1234567890 |
| doraemon |
| 1q2w3e4r |
利用が制限されるパスワードは、グローバル xForce Red 除外パスワード・リストに含まれているようです。
最後に
次回は、ユーザーが、除外パスワード・リストに含まれるパスワードを指定した場合どのようにレポートに表示されるか確認したいと思います。
5/11更新