パスワードポリシー【password policy】

概要

パスワードポリシー（password policy）とは、利用者の認証に用いるパスワードが満たすべき条件を規定したもの。システム管理者によって設定され、各利用者はパスワードポリシーに則ってパスワードの設定や変更を行う必要がある。

一般的な認証システムでは、利用者の識別名（IDやアカウント名など）と、パスワードという秘密の文字列をセットで保存する。システムの使用時には利用者に識別名とパスワードの入力を求め、保存されたものに両者とも一致すれば本人であると認める。

パスワードポリシーはこのパスワードの構成や変更に関する規約で、ポリシーに合わないパスワードは設定を受け付けないようにする。具体的な項目としては、パスワードの長さ（文字数の下限や上限）、必ず含めるべき文字種や組み合わせ（英字、数字、記号を必ず一文字以上など）、連続文字の制限、有効期限（定期的な変更要求）、変更禁止期間（変更直後の再変更の可否）、よく知られる特定の文字列（「password」「12345678」など）の禁止、過去のパスワードの再利用の可否などがある。

また、システムによって機械的に適用することはできないが利用者に要請する事項が含まれる場合がある。例えば、外部の他のシステムやサービスと重複するパスワードを用いない、自分や家族、自分に関わりのある人物や物事に関連する文字列（名前や誕生日など）を使用しない、辞書にある単語だけで作らない、などである。

(2021.7.9更新)