TOPサーバ構築・運用> PowerGres + securityの機能 - その1




PowerGres
PowerGresのすべて

第3回:セキュリティを強化した「PowerGres + security」

著者:SRA OSS  山口 大樹   2007/9/13
前のページ  1  2  3  次のページ
PowerGres + securityの機能 - その1

   前のページで説明した通り、PowerGres + securityでは、ベースとなるPostgreSQL認証版によりIEC/ISO15408認証取得のために機能追加が行われています。ここでは1つ目の機能追加「パスワード強度検査機能」について説明します。

パスワード強度検査機能

   パスワード強度検査機能は、PostgreSQL認証版上のロール(ユーザとグループの概念を1つにしたもの)に与えられるパスワードの「強さ」を監視してくれる機能です。この機能によって、より強度の高いパスワードを設定することが可能になり、パスワードが見破られる可能性が軽減します。


パスワードチェック

   PostgreSQLでは「ALTER ROLE」文を使ってロールのパスワードを登録・変更することができます。PostgreSQLにはパスワードの最低文字数や、使用すべき文字の既定といったものはありませんので、極端な話「a」という1文字のパスワードも使用可能です。ただしこれは誰がみても「強いパスワード」とはいえません。

   これに対してPowerGres + securityのパスワードには「8 +(4 - 使用文字クラス数)」文字という制限があります。

   文字クラスとはPowerGres + securityのパスワードに利用できる文字の集合で、英大文字・英小文字・数字・記号と4つのクラスに分けられています。例えば、英小文字のみでパスワードを登録する場合には最低11文字、英小文字と英大文字を組み合わせた場合には最低10文字となります。

   また、パスワード変更時に新旧パスワードの比較機能が働きます。新しく設定するパスワードは大文字小文字の区別なく比較され、古いパスワードと一致するもの、もしくは包含するものは登録することができません。


パスワード登録の実例

   それではPowerGres + securityのSQLインタプリタであるpsqlを使って、実際にパスワードを登録したときの例をみてみましょう。今回は一般ロール「powergres」のパスワードを変更します(図1)。

パスワード登録の例
図1:パスワード登録の例
(画像をクリックすると別ウィンドウに拡大図を表示します)

   まず、最初のパスワード変更で指定された「longpasswd」は英小文字のみの1クラス10文字で構成されており、「8 +(4 - 1クラス)= 11文字」に満たないので、パスワードが弱いことを示す「password is too weak」というエラーになっています。これを「longpassword」と指定することで11文字以上となり、パスワード変更が許可されました。

   さらに、「ReallyLongPassWord」というパスワードに変更します。2クラス18文字なので文字数制限はクリアしていますが、「longpassword」部分を含んでいるのでエラーとなります。

   以降はパスワードのクラス数と文字数の関係を示しています。「password」は1クラス8文字ですが、さらに英大文字、記号、数字を加えた4クラスとしたとき、パスワードが8文字で許可されています。

   以上がパスワード強度検査機能の概要です。実際の運用ではパスワードの強度だけではなく、パスワードの有効期限を設定するなどして、セキュリティをさらに強化することができます。

前のページ  1  2  3  次のページ


SRA OSS, Inc. 山口 大樹
著者プロフィール
SRA OSS, Inc.  山口 大樹
日本支社 技術部
2004年株式会社SRA入社。2005年SRA OSS, Inc.設立時に出向。入社以来、PostgreSQL関連業務に関わっており、サポート、トレーニング、認定試験、コンサルティングなど幅広い業務を担当。


INDEX
第3回:セキュリティを強化した「PowerGres + security」
  PowerGres + securityとは
PowerGres + securityの機能 - その1
  PowerGres + securityの機能 - その2