はじめに
Auth0で設定できるパスワードポリシーの内容を紹介します。
パスワードポリシー設定画面
管理画面のDatabaseメニュー内の任意のデータベースを選択してPassword Policyタブを開きます。
この画面でパスワードポリシーに関する以下4項目が設定できます。
- Password Strength
- Password History
- Password Dictionary
- Personal Data
パスワードの強度設定
パスワードの強度のポリシーを5段階で設定できます。
バーを上下するだけで簡単に設定が可能で強度に応じてExcellet、Good、Fair、Low、Noneと評価が変わります。
過去使用済みのパスワードの利用禁止
トグルスイッチをONにすると過去に使用済みのパスワードを再設定ができないようになります。
過去のパスワードの履歴の数も設定可能で最大24まで設定できます。
辞書に載っているパスワードの利用禁止
トグルスイッチをONにすると利用されることの多いパスワードを集めた辞書に存在するパスワードが利用できなくなります。
辞書は以下で公開されています。
https://github.com/danielmiessler/SecLists/blob/master/Passwords/Common-Credentials/10k-most-common.txt
フォームに追加の辞書を入力することもできます。
標準の辞書に加えてフォームに記載したパスワードも使用できなくなります。
個人データを含むパスワードの利用禁止
トグルスイッチをONにすると以下のユーザー情報を含むパスワードが利用できなくなります。
- name
- username
- nickname
- user_metadata.name
- user_metadata.first
- user_metadata.last
上記以外にもメールアドレスの@よりも前の部分もパスワードに含めることができなくなります。
おわりに
Auth0では柔軟なパスワードポリシー設定が可能です。
Auth0を利用するときは必ずパスワードポリシー設定を検討することをおすすめします。