TOP
>
サーバ構築・運用
> PowerGres + securityの機能 - その1
PowerGresのすべて
第3回:セキュリティを強化した「PowerGres + security」
著者:
SRA OSS 山口 大樹
2007/9/13
前のページ
1
2
3
次のページ
PowerGres + securityの機能 - その1
前のページで説明した通り、PowerGres + securityでは、ベースとなるPostgreSQL認証版によりIEC/ISO15408認証取得のために機能追加が行われています。ここでは1つ目の機能追加「パスワード強度検査機能」について説明します。
パスワード強度検査機能
パスワード強度検査機能は、PostgreSQL認証版上のロール(ユーザとグループの概念を1つにしたもの)に与えられるパスワードの「強さ」を監視してくれる機能です。この機能によって、より強度の高いパスワードを設定することが可能になり、パスワードが見破られる可能性が軽減します。
パスワードチェック
PostgreSQLでは「ALTER ROLE」文を使ってロールのパスワードを登録・変更することができます。PostgreSQLにはパスワードの最低文字数や、使用すべき文字の既定といったものはありませんので、極端な話「a」という1文字のパスワードも使用可能です。ただしこれは誰がみても「強いパスワード」とはいえません。
これに対してPowerGres + securityのパスワードには「8 +(4 - 使用文字クラス数)」文字という制限があります。
文字クラスとはPowerGres + securityのパスワードに利用できる文字の集合で、英大文字・英小文字・数字・記号と4つのクラスに分けられています。例えば、英小文字のみでパスワードを登録する場合には最低11文字、英小文字と英大文字を組み合わせた場合には最低10文字となります。
また、パスワード変更時に新旧パスワードの比較機能が働きます。新しく設定するパスワードは大文字小文字の区別なく比較され、古いパスワードと一致するもの、もしくは包含するものは登録することができません。
パスワード登録の実例
それではPowerGres + securityのSQLインタプリタであるpsqlを使って、実際にパスワードを登録したときの例をみてみましょう。今回は一般ロール「powergres」のパスワードを変更します(図1)。
図1:パスワード登録の例
(画像をクリックすると別ウィンドウに拡大図を表示します)
まず、最初のパスワード変更で指定された「longpasswd」は英小文字のみの1クラス10文字で構成されており、「8 +(4 - 1クラス)= 11文字」に満たないので、パスワードが弱いことを示す「password is too weak」というエラーになっています。これを「longpassword」と指定することで11文字以上となり、パスワード変更が許可されました。
さらに、「ReallyLongPassWord」というパスワードに変更します。2クラス18文字なので文字数制限はクリアしていますが、「longpassword」部分を含んでいるのでエラーとなります。
以降はパスワードのクラス数と文字数の関係を示しています。「password」は1クラス8文字ですが、さらに英大文字、記号、数字を加えた4クラスとしたとき、パスワードが8文字で許可されています。
以上がパスワード強度検査機能の概要です。実際の運用ではパスワードの強度だけではなく、パスワードの有効期限を設定するなどして、セキュリティをさらに強化することができます。
前のページ
1
2
3
次のページ
著者プロフィール
SRA OSS, Inc. 山口 大樹
日本支社 技術部
2004年株式会社SRA入社。2005年SRA OSS, Inc.設立時に出向。入社以来、PostgreSQL関連業務に関わっており、サポート、トレーニング、認定試験、コンサルティングなど幅広い業務を担当。
INDEX
第3回:セキュリティを強化した「PowerGres + security」
PowerGres + securityとは
PowerGres + securityの機能 - その1
PowerGres + securityの機能 - その2
