問題タブ [password-policy]

SQL をインストールするインストーラーを作成しています。事前に、ユーザー用に作成される SA ユーザー名/パスワードを入力するように求められます。SQL のインストール時に、このパスワードが Active Directory ポリシーに対して検証され、一致しない場合は失敗します。

私がしたいことは、SQL のインストールに進む前に、ユーザーが入力したパスワードが有効であることを確認することです。

パスワードが Active Directory ルールに対して正しいことを検証するにはどうすればよいですか?

この回答に従って確認するためのログインはありませんが、確認するためのパスワードだけがあることに注意してください。

現在これを試していますが、許可されていないことがわかっている「パスワード」を書いても例外がスローされません

テーブル「管理者」のパスワード フィールドに制約を設定したいと考えています。必要な制約は、パスワードが 6 文字未満であってはならず、文字 (数字と数字) が混在していることです。

この制約の KEYWORD と構文は何ですか。私はしばらくの間 Googledit を持っていて、オフィスにいて、このタスクをすぐに完了しなければなりません。MS SQL を使用しています

ここに私が書いたものがあります、

私は slapd 2.4.28 で OpenLDAP を使用していますが、/etc/ldap/ フォルダーに slapd.conf ファイルがありません。私が行ったチュートリアルとビデオのほとんどは、slapd.conf の構成に関するものです。

ubuntu 12.04サーバーでslapd 2.4.28を試した人はいますか?

次の手順が実行されましたが、うまくいきません：

私ができることは、pwdpolicy オブジェクトをユーザー グループと組織単位に割り当てることだけですが、いずれも有効になっておらず、デフォルトのパスワード ポリシーが有効になっているだけです。

MVCを使用せずにasp.net 4.5でプロジェクトを再作成していますが、Identity 2.0を使用しています。MVC を使用せずに ID パスワード ポリシーを変更する例はネット上にありません...悲しいことに。誰もこれについてどうやって行くのか知っていますか?

こんにちは、私は Alfresco の初心者です。ユーザーにポリシー パスワードを追加する方法があるかどうか知りたいです。

• パスワードには 8 文字以上を含める必要があります
• パスワードには小文字と大文字を含める必要があります
• パスワードには特殊文字を含める必要があります

私の質問は、このHow to hash long passwords (>72 characters) with blowfishから派生して います

パスワードをハッシュするために bcrypt(blowfish) を使用しています。したがって、この質問からわかったように https://security.stackexchange.com/questions/39849/does-bcrypt-have-a-maximum-password-length

文字数制限は 72 です。

それで、パスワードの最大長を制限することを考え始めましたが、これらの質問とその回答の後

https://security.stackexchange.com/questions/33470/what-technical-reasons-are-there-to-have-low-maximum-password-lengths

パスワードの長さを制限する理由

パスワードに最大長を課す必要がありますか?

言われていることはすべて反対です。のようなものに言及する

• ストレージを保存
• 古い Unix システムの経験
• 長いパスワードをサポートしていないレガシー システムとの相互作用
• 慣例（つまり、「私たちはいつもそのようにしてきた」）
• 単純な無知または無知。
• 平文で保存
• また、a maximum length specified on a password field should be read as a SECURITY WARNINGこの回答による - https://stackoverflow.com/a/99724/932473
• 等

したがって、私はこれらのケースのいずれとも一致しないと思います。もちろん、最大長が 10、さらに悪い場合は 8 または 6 などのばかげた制限には同意しますが、30、40、またはそれ以上の長さのパスワード (ソルト) は安全と見なされませんか? この記事から（少し古いですが）、

http://arstechnica.com/security/2012/12/25-gpu-cluster-cracks-every-standard-windows-password-in-6-hours/

そして、これは8文字のパスワード用です。したがって、レインボーテーブルのサイズが指数関数的に増加するにつれて、30文字以上のパスワードを1つだけブルートフォースするカスタムレインボーテーブルがどれほど巨大になるかを想像します(各パスワードには独自のソルトがあることを考慮して)。

同記事コメントより引用

パスワードに文字を追加するたびに、力ずくでクラックするのが指数関数的に難しくなります。たとえば、8 文字のパスワードには 95^8 の組み合わせのキースペースがあり、20 文字のパスワードには 95^20 の組み合わせのキースペースがあります。

したがって、それに応じて bcrypt を使用した 20 の長さのパスワードが必要になる場合は、95^20 / (71 000 * 3600 * 24 * 365) ~ 10 の 28 度年 (正しく実行した場合)

qsn1:さて、この場合、blowfish の場合、パスワードの最大長を 72 までに制限しないという意味があります。これ以降はすべてが切り捨てられるため、ここでは余分なセキュリティが得られないためです。

qsn2:ソルト (ユーザーごとに一意であり、db に保存されます) が存在する場合でも、やはりパスワードにコショウ (db に保存されるのではなく、アプリケーションにハードコーディングされます) を追加したいと考えています。少し余分なセキュリティが追加されるかどうかはわかっていますが、万が一の場合に備えて、db（またはdbバックアップ）がリークされているだけの場合は、pepperが役立つと考えています. https://security.stackexchange.com/a/3289/38200 したがって、たとえば 20 文字のペッパーを追加できるようにするには、パスワードの最大長を約 50 にする必要があります。次のように考えます。ユーザーが 70 文字を使用しているとしましょう。ほとんどの場合 (すべてではないにしても)、強力なフレーズを生成するのではなく、そのようなフレーズやスムスであるため、ユーザーを最大長で 50 に制限し、さらに 20 ～ 22 文字のペッパーを追加する方が安全ではないでしょうか。また、ハッカーが「一般的なフレーズ」のレインボー テーブルを使用しているとし72 character common phraseましょう50 character common phrase + 22 character random string。それで、このアプローチはコショウと50の最大長の方が良いですか、それとも私は間違っているので、72の最大制限を残す方が良いですか（qsn1が問題ない場合）？

ありがとう

ところで：

Owasp によると、パスワードの妥当な最大長は 160 https://www.owasp.org/index.php/Password_Storage_Cheat_Sheet#Do_not_limit_the_character_set_and_set_long_max_lengths_for_credentials

Google のパスワードの最大長は 100 です

Wordpress の上限は 50 です

https://signup.wordpress.com/signup/

OpenAM を使用して、複数のアプリケーションにアクセスできるユーザーを管理します。すべてへのアクセスは、OpenAM による SSO を使用して制御されます。一部のアプリケーションには、特定の (最小限の) パスワード ポリシーが必要です。ユーザーが、固有のポリシーが定義されている複数のアプリケーションにアクセスできる場合、ユーザー パスワードに適用されるポリシーは最も厳格である必要があります。

これをどのように実施しますか？事実上、パスワード ポリシーの優先順位を定義できますか?

乾杯ダリル