パスワード設定の基準
ISO17799(JIS X 5080)など、セキュリティー関連の標準化ドキュメントには良質なパスワードの条件として以下のような項目が挙げられています。
- 数ヶ月おきなど定期的にパスワードを変更する。
- パスワードは最短6文字以上とする。
- パスワード・ルールは以下のようにする。
・覚えやすい(紙などにパスワードを書かなくてもよいもの)
・ユーザーの関連情報(名前、電話番号、誕生日等)から、容易に推測できないもの
・連続した同一文字は避ける
・アルファベットと数字の両方を含む
- 同じパスワードを繰り返して何度も使用しない。
・2~3個の決まったパスワードを順番に使用しないようにする。
- 最初に仮パスワードを発行し、最初のログイン時にパスワードをユーザーが変更するような運用とする。
- ユーザーID/パスワードは個人毎に別々とし、複数のユーザーで共用しない。
i5/OS(OS/400 V5)の機能では、上記のようなパスワード管理をするために必要なシステム値を用意しています。
OS/400におけるパスワード関連システム値
1. QPWDEXPITVパスワード有効期間
- *NOMAXまたは日数1~366を指定します。
- デフォルトは*NOMAXとなっていますが、これは過去のOS/400バージョンとの互換性保持のためで、現在のセキュリティー環境では*NOMAXは推奨されません。数ヶ月単位でのパスワード変更を推奨します。ユーザーはパスワード有効期限の7日前のサインオン時に警告をうけとります。有効期限を過ぎると、ユーザープロファイルのPWDEXPパラメーターが*YESに変更されます。
- PWDEXPパラメーターが*YESのユーザーIDでサインオンすると、図1のようなパスワード有効期限切れのサインオン情報が表示され、図2のようなパスワード変更を要求する画面が表示されます。ユーザーは図2の画面でパスワードを変更しない限り、システムにサインオンする事ができません。
図1
図2
この機能を利用して、ユーザーID作成後ただちにPWDEXPパラメーターを*YESに変更すると、ユーザーの初回ログオン時に必ずユーザーIDを変更させる運用が可能となります。
2. QPWDLMTAJCパスワード中の隣接した数字の制限
- 0=使用可能、1=使用不可能
- デフォルトは0となっていますがこれは過去のOSバージョンとの互換性保持のための設定であり、現在のセキュリティー環境では必要に応じて1にする事が推奨されます。
- このシステム値を1にすると、PASS11のような同じ数字を続けたパスワードの使用ができなくなります。
3. QPWDLMTCHARパスワード中の文字の制限
- デフォルトは*NONE=パスワードに使用可能な文字制限なし、最大10個のパスワード中で使用不可とする文字を指定できます。
- このシステム値に指定可能な文字(つまりパスワード中で使用可能な文字)はA~Z,0~9,特殊文字#,$,下線(_),@です。
4. QPWDLMTREP パスワード中の反復文字の制限
- 0=反復可能、1=反復不可能、2=連続反復不可能
- 1にするとパスワード内に同じ文字を2文字以上含める事ができなくなります。
(違反パスワードの例)PASS12 PAS12S - 2にするとパスワード内で同じ文字を使用することはできますが、連続して同じ文字を指定できなくなります。(例)PASS12はパスワード違反、PAS12S はパスワードとして適合
- デフォルトは 0 ですが、現在のセキュリティー環境では必要に応じて2または1に変更する事が推奨されます。
- このシステム値は即時に変更が有効となります。
5. QPWDLVLパスワード・レベル
- デフォルトは0=パスワード長は1~10文字。2ではパスワード長を1~128文字で指定可能
- 1にするとパスワード長は1~10文字ですが、Windows 95/98 Meからネット・サーバーが利用不可になります。
- 2にするとパスワード長は1~128。大文字・小文字を識別。パスワードに使用可能な文字の制限なし(ただし第一文字目のアスタリスク(*)と最後のブランクを除く)かつWindows 95/98 Meからネット・サーバーが利用可能です。
- パスワードルールを準拠させれば、QPWDLVLを2から1または0に戻す事が可能です。
- 3にするとパスワード長は1~128。大文字・小文字を識別。パスワードに使用可能な文字の制限なし(ただし第一文字目のアスタリスク(*)と最後のブランクを除く)。かつWindows 95/98 Meからネット・サーバーが利用不可になります。また、一度 QPWDLVLを3にするとQPWDLVLを0または1に戻す事ができなくなりますので注意が必要です。
- 0はOS/400 V5R4以前のiSeries,AS/400システムと通信する場合、Windows 9x/Meと通信する場合、必要がある場合に指定します。
- このシステム値は次回IPL後に変更が有効となります。
- システム値QPWDLVLを2または3に変更する場合には、事前にマニュアル「OS/400機密保護解説書」またはインフォセンターを参照して変更点を十分に評価する必要があります。
6. QPWDMAXLEN最大パスワード長
- QPWDLVLが0,1の場合1~10を指定
- QPWDLVLが2,3の場合1~128を指定
7. QPWDMINLEN最小パスワード長
- QPWDLVLが0,1の場合1~10を指定
- QPWDLVLが2,3の場合1~128を指定
- 現在の一般的なセキュリティー環境では6文字以上を指定することを推奨
8. QPWDPOSDIF パスワード文字位置の制限
- デフォルトは0=パスワード文字位置について新パスワード・旧パスワードで制限なし
- 1=パスワード文字位置について制限あり。たとえば旧パスワードがPWD12Aの場合、新パスワードをWRD23Bと指定するとCPF22C8のエラーとなります。(‘D’が同じ3桁目にあるためエラーとなる)
9. QPWDRQDDIFパスワードに数字が必要
- 0=パスワードに数字は必須でない。1=パスワードに数字が必須
- 1に設定して数字を含めないパスワードに変更しようとすると、CPF22C9のエラーとなります。
10. QPWDRQDDIF重複パスワード制御
- 0=新しいパスワードは以前のパスワードと同じでもよい。
- 1=新しいパスワードはそれ以前に変更した最近のパスワード32個の値と異なる必要があります。
- 2=新しいパスワードはそれ以前に変更した最近のパスワード24個の値と異なる必要があります。
- 3=新しいパスワードはそれ以前に変更した最近のパスワード18の値と異なる必要があります
- 4=新しいパスワードはそれ以前に変更した最近のパスワード12個の値と異なる必要がります。
- 5=新しいパスワードはそれ以前に変更した最近のパスワード10個の値と異なる必要があります。
- 6=新しいパスワードはそれ以前に変更した最近のパスワード8個の値と異なる必要があります。
- 7=新しいパスワードはそれ以前に変更した最近のパスワード6個の値と異なる必要があります。
- 8=新しいパスワードはそれ以前に変更したパスワード4個の値と異なる必要があります。
- デフォルトは0。現在のセキュリティー環境では1~8のいずれかに変更することを推奨します。