パスワード セキュリティの管理

パスワードポリシーの有効化、カスタムパスワード設定、パスワード類似性チェックの有効化により、JIRA 環境のセキュリティを強化できます。


パスワード ポリシーの有効化

JIRA パスワードポリシーは既定では無効になっています。このポリシーは、JIRA ユーザーが自分のパスワードを変更できる場合のみ有用です。JIRA が外部ユーザー管理システム (LDAP、Active Directory、Crowd) に接続されている場合、パスワードは JIRA の外部で管理されるため、このポリシーは使用しないでください。 

パスワード ポリシーを有効にする方法
  1. Select  > Security.
  2.  左側のパネルで [パスワード ポリシー] をクリックします。次のいずれかのオプションを選択します。
    1. 無効 - パスワード ポリシーなしと同じです (既定)。
    2. 簡易 – パスワードの長さを 8 文字以上とし、2 種類以上の文字を使用することを要求します。前のパスワードやユーザーの公開情報に非常に類似したパスワードを拒否します。
    3. Secure – パスワードの長さを 10 文字以上とし、3 種類以上の文字 (1 個の特殊文字を含む) を使用することを要求します。前のパスワードまたはユーザーの公開情報に少しでも類似したパスワードを拒否します。
    4. カスタム – 独自の設定を使用します (詳細については次のセクションを参照)。
  3. [更新] ボタンをクリックして終了します。

カスタム パスワード ポリシーの設定

カスタム パスワード ポリシーを設定する場合は、多くのオプション フィールドの設定が可能です。 

カスタム設定

'カスタム' パスワード設定

社内のパスワード基準を満たすように、必要なフィールドを更新します。 
  1. Password Length – パスワードの最小および最大の長さを設定します。既定では8および255です。
  2. Character Variety – これらのフィールドを使用して、文字タイプに関する要件 (大文字、小文字、特殊文字など) を設定します。
  3. Similarity Checks – この機能の詳細については、次のセクションを参照してください。

'カスタム' パスワード設定での類似性チェック

これは、新しく作成するパスワードが現在のパスワード、ユーザー名、電子メールアドレスに非常に類似していないことを確認するためのシステムチェックです。IgnoredLenientStrict のいずれに設定できます。

Lenient と Strict の違い

  • Lenient は、username を逆から読んだものや、最初の文字を最後に移動したものなど、明らかな類似性を確認します。
  • Strict では、文字の入れ替えや1文字を追加しただけといった、わずかな変形がチェックされます。文字頻度分析も実行されます。

CAPTCHA を有効にする

JIRA アプリケーションサーバーに組織のファイアウォールの外側からアクセスでき、サインアップを有効にしている場合、  CAPTCHA も有効にするとよいでしょう。CAPTCHA により、(自動スパムシステムではなく) 人間だけが JIRA にサインアップできます。 CAPTCHA が有効になっている場合、ビジターは (次の例のような) 歪んだ単語の画像を認識し、テキストフィールドにその単語を入力する必要があります。これは人間にとっては簡単ですが、コンピュータにとっては非常に困難です。パブリックサインアップと CAPTCHA の有効化の詳細については、「パブリックサインアップおよび CAPTCHA の有効化」を参照してください。

 

パスワードに関する FAQ

FAQ

質問: 文字バラエティ (Character Variety) とは何ですか? なぜそれを使用する必要があるのですか?

A. 文字の多様性はキーボードで入力できる文字の異なる種類(小文字、大文字、数字、特殊文字)を参照します。異なる文字種を要求するとパスワードが推測されにくくなりますが、覚えるのも難しくなります。このフィールドを設定するときは、ユーザーのことだけでなく、会社の要件を考慮して最善の判断を下してください。 


質問: このポリシーは既存のパスワードに影響しますか?

回答 ポリシーはパスワードの変更時にのみ適用されます。既存のパスワードがポリシーに適合しているかどうかを調べる、またはポリシーが変更さrた場合にパスワードを強制的に更新させる方法はありません。回避策として、この Crowd REST リソースを使用してユーザーのパスワードを強制的にユーザーの知らないパスワードに変更してリセットを要求し、パスワードのリセットによってポリシールールを適用します。

最終更新日: 2018 年 1 月 31 日

この内容はお役に立ちましたか?

はい
いいえ
この記事についてのフィードバックを送信する
Powered by Confluence and Scroll Viewport.