セキュリティーを考える「ユーザー認証」

クラウドサービスもいいけど、オンプレミスを公開するパターンもなかなか・・・。
クラウドサービスを使うにしても認証を社内Active Directory とパスワードを合わせたいなどと要求を出すと、どうしても、オンプレミスのサーバーを公開する必要が出てくる。


そういう時、どうやってセキュリティーを高めるのか考えてみる。


ユーザー認証の強化の方法


IDを複雑にするのは運用上問題が多いので、パスワードを強力にするしかないけど現実は難しい。


「大文字、小文字、数字、記号の4種類を使って8文字以上かつ、誕生日、住所、電話番号、家族の名前、家族の生年月日、記念日に関連する情報は使ってはならない。パスワード変更の履歴は5個、同じパスワードを連続して設定できない。パスワードの有効期限は3か月」なんてルールを強制されたら、付箋とかノートにメモするよなぁ~


ワンタイムパスワードや乱数表を使うってのはパスワードをユーザーが覚えなくてよいメリットはあるけど、カードなどの管理や持ち運ぶのが面倒。10個のサービスすべてがワンタイムパスワードを採用して、カードを10枚持ち歩くなんて嫌だよね。


スマートカード、対応機器限られてるし~盗まれたらどうするの?4桁数字のPINなんて・・・


生体認証・・・機械どうするの!!一度複製されたら使えないよね~


などと、複雑化すると問題が出てくるので運用に耐えられない。
個人的には5文字以上で有効期限は40日とかでいいんじゃないかと思う。


銀行とかで使われている数字4桁なんて、だれかの誕生日に設定しろ!!と指示しているのと一緒だよね。それがダメというなら01**~12**、**01~**31の範囲くらいは設定できないようにしとけよ~って思う。なんで5桁にしなかったんだろう?と思う。5桁ならとりあえず誕生日+一文字とかにするので簡単に推測しにくく出来るのにね~~


有効期限も1か月単位で変更しにくいように微妙にずらすとか・・・


0401(mmdd)
130401(yymmdd)
20130401(yyyymmdd)


このパターンを設定しにくいルールを決めれば、それなりの強度を保てると思うんですけどね


パスワードのヒントもやめてほしいよなぁ~「初めて就職した時の初めての上司」??誰だよそれ~



Microsoft Entra Connect Cloud同期のお勧め属性マッピング

ハイブリッドID構成の設定で必須設定じゃないかな~というやつを備忘録的に投稿しておきます。個人的な推奨値なので実際に設定する際は十分な理解と検証を心掛けてください。そのまま利用して不具合が発生しても責任はとれません。 Microsoft Entra Connect によって同期さ...