none
パスワードの複雑性の要件の1つである「3文字以上連続する文字列」と、フルネームが日本語名の場合について RRS feed

  • 質問

  • いつも勉強させて頂いております。

     

    環境

    OSWindows Server 2008 R2 SP1

    Active Directory

     

    早速ですが、パスワードの複雑性を有効にした際の以下2点についての質問です。

     

    1.3文字以上連続する文字列は使用不可」に該当するパスワードは?

    2. 表示名が日本語の場合、フルネームはチェック対象から外れる?

     

    パスワードの複雑性の要件の中に「ユーザーのアカウント名またはフルネームに

    含まれる3文字以上連続する文字列を使用しない。」というものがあります。

    (グループポリシーの説明欄に記述あり)

     

    例えば、ユーザー名が「123456」でフルネームが「yamada taro」だった場合、パスワードに「123」や「yam」、「tar」を含むことはできないと理解したつもりでした。

    しかし、以下のパスワードを設定できるか検証した結果、3文字以上連続していても問題なく設定できてしまい、困惑しております。

     

    ユーザー名:123456

    フルネーム:yamada taro

    変更後パスワード:P!ssw0rd123…変更可

                                    P!ssw0rd123456…変更不可

                                    P!ssw0rdyam…変更可

                                    P!ssw0rdyamada…変更不可

                                    P!ssw0rdtar…変更可

                                    P!ssw0rdtaro…変更不可

    この結果では、ユーザー名もしくはフルネームのすべてが含まれるパスワードは使用できないものの、「3文字以上連続する文字列は使用不可」は正確な表現ではないのでは?と考察しております。

     

    パスワードの複雑さの要件は、いつから間違えていたのか?

     

    また、別件となりますが、フルネームに日本語名が使用されていた場合で検証した結果、以下のようになりました。

     

    ユーザー名:123456

    フルネーム:山田 太郎

    変更後パスワード:P!ssw0rd123…変更可

                                    P!ssw0rd123456…変更不可

                                    P!ssw0rdyamada…変更可

                                    P!ssw0rdtaro…変更可

     

    この結果では、表示名が日本語の場合、フルネームはチェック対象から外れる模様なのですが、(ユーザー名のすべてがパスワードに含まれている場合のみ拒否される)

    この理解で間違いないでしょうか?

     

    何卒よろしくお願い致します。

     

    ここまでに参考にした情報です。

     

    「パスワードの複雑性」の要件

    ※見出し「ユーザー名を含むパスワードの禁止」を参考にしました。

     

    パスワードポリシーの複雑性の有効時動作について

     

    ステップバイステップ ガイド : Windows Server 2003 Active Directory における強力なパスワード ポリシーの強制
    • 編集済み 天心飲茶 2011年11月30日 8:18 改行位置調整
    2011年11月30日 8:17

回答

  • チャブーンです。

    パスワードですが、日本語名は基本的に入力できない(一部のUnicode文字は入力できます)ので条件に合うことはないと思うのですが、3文字以上の項目は「区切り文字で区別される3文字以上の(各)名前に一致するものは拒否する」という動作なのではないかしらと。興味があって昔検証してみたのですが、そのときの結果が名前の一部は対象にならず、全部のスペリングが一致したモノだけが対象になった記憶があります。

    ヘルプの説明文がかなり微妙だと思ってはいますが、MSの製品は時としてこういうことがあるので、あまり気にしてはいません。私個人はこういうモノだと判断しています。

    • 回答としてマーク 天心飲茶 2011年12月7日 7:27
    2011年12月4日 10:33
    モデレータ

すべての返信

  • チャブーンです。

    パスワードですが、日本語名は基本的に入力できない(一部のUnicode文字は入力できます)ので条件に合うことはないと思うのですが、3文字以上の項目は「区切り文字で区別される3文字以上の(各)名前に一致するものは拒否する」という動作なのではないかしらと。興味があって昔検証してみたのですが、そのときの結果が名前の一部は対象にならず、全部のスペリングが一致したモノだけが対象になった記憶があります。

    ヘルプの説明文がかなり微妙だと思ってはいますが、MSの製品は時としてこういうことがあるので、あまり気にしてはいません。私個人はこういうモノだと判断しています。

    • 回答としてマーク 天心飲茶 2011年12月7日 7:27
    2011年12月4日 10:33
    モデレータ
  • チャブーン様

    投稿ありがとうございました。
    質問文に記載した技術情報と、こちらで行った検証結果を踏まえると、↓のご意見に納得できました。

    >「区切り文字で区別される3文字以上の(各)名前に一致するものは拒否する」という動作なのではないかしらと。

    ありがとうございました。

    2011年12月7日 7:27