ユーザーのパスワードの複雑さを強制するにはどうすればよいですか？

1378434153 · 2022 年 10 月 26 日午前 8:04

例えば、パスワードは文字、数字、記号で構成されます。

JammyDodger · 2022 年 10 月 26 日午前 8:18

質問の前提がよく理解できません。パスワードを強化するには、大文字と小文字の区別、数字、記号を組み合わせる必要があります。できればランダムで、サイト/ログインごとにユニークなものを使用してください。

パスワードマネージャーも便利なツールです。

ただし、これは一般的なパスワードのアドバイスであり、Discourseに特化したものではありません。

1378434153 · 2022 年 10 月 26 日午前 8:24

私の意図を誤解されたかもしれません。私が言いたいのは、ディスコースフォーラムを作成したということです。新しいユーザーが登録したときに、パスワードを3つのタイプに制限する必要があります。

パスワードの長さは、システム設定からしか調整できません。

JammyDodger · 2022 年 10 月 26 日午前 8:25

なるほど。ユーザーに文字、数字、記号を組み合わせたパスワードを強制したいということですね。

残念ながら、現時点ではその方法を知りません。

1378434153 · 2022 年 10 月 26 日午前 8:29

どうもありがとう

この問題を解決できる方はいらっしゃいますか？

merefield · 2022 年 10 月 26 日午前 8:39

これらが唯一の設定だと思います。

私の意見では、これは妥当な Feature リクエストですよね？

パスワードをより厳格にするデメリットは、サインアップ中にユーザーをイライラさせてしまい、完了を妨げてしまう可能性があることでしょうか？これの優先順位はコミュニティによって surely 異なりますよね？

@1378434153 この問題を解決する別の方法としては、ローカルログインを無効にして、より強力な体制を持つソーシャル/認証ログインを強制することかもしれません。

すべての В accounts に 2FA を強制することも検討すべき点です。

1378434153 · 2022 年 10 月 26 日午前 9:00

ありがとうございます。しかし、二要素認証は必要ありません。

Jagster · 2022 年 10 月 26 日午前 9:04

しかし、ユーザーはそれを必要としているか、望んでいるのではないでしょうか？それが最優先されるべきであり、あなたのニーズではありません。

Stephen · 2022 年 10 月 26 日午前 9:46

より長いパスワードを義務付けるのではなく、同じことを達成できませんか？

pfaffman · 2022 年 10 月 26 日午前 10:39

問題ありません。どのような種類の文字があるかについて恣意的なルールを設けても役に立たず、ユーザーを苛立たせるだけです。パスワードは既知のパスワードデータベースとも照合されます（そう記憶していると思います）。

パスワードに関するルールを作成した人々は、ほとんどの人が費やした時間と労力よりも、ベストプラクティスを研究することに多くの時間と労力を費やしたと考えるのが妥当です。他に心配事を見つけることをお勧めします。

ご希望であれば、250ドルから1000ドルで#marketplaceに投稿し、ユーザーに課したいルールを自由に設定できます。

mcdanlj · 2022 年 10 月 26 日午後 4:27

NISTなどが推進する業界のベストプラクティス（推奨プラクティス）では、もはや「LUDS」（大文字＋小文字＋数字＋記号）やその他の文字クラス要件を要求することは推奨されていません。ベストプラクティスとしては、最小長の制限に厳密に移行しています。例えば、5年前のNISTのブログ記事をご覧ください。

この記事はガイダンスの変更点を要約しており、私の知る限り、Discourseは推奨プラクティスを実装しています。

Jagster · 2022 年 10 月 26 日午後 5:05

そして、もう一つ見過ごされがちな点があります。それは、これらすべてが非常にアングロセントリック（欧米中心主義）なものであるということです。もし私がフィンランド語、スウェーデン語、ドイツ語、あるいは英語以外の言語で短くて簡単なパスワードを使用した場合、スクリプトやボットがそれをどれくらいの速さで破ることができると思いますか？

もちろん、それはアメリカ、カナダ、イギリスなどでは役に立ちませんが、世界はもっと広いですこれは、英語圏のユーザーが「password」や「qwerty」のようなパスワードを使用しているから、すべてがそのようになっている、という意味です

しかし、管理者が「ÄitiniMunのようなパスワードは、数字がいくつか入っていないなどの理由で使えません」と言うと、私は少しうんざりします。

単純すぎるパスワードは問題ではありません。複数のサービスで同じメールアドレス/パスワードの組み合わせを使用することが問題なのです。

Stephen · 2022 年 10 月 26 日午後 5:06

NISTは間違いなくその点では一歩先を行っています。例えば、PCI-DSSはわずか8文字から12文字になったばかりで、まだ英数字のパスワードを要求しています。

Falco · 2022 年 10 月 26 日午後 5:11

前述の@Stephenと@mcdanljが述べたように、それを強制することはもはや最新のセキュリティプラクティスではないため、当社では要求していません。

ただし、Discourseのログインプロセスを完全に制御したい場合は、DiscourseConnectを利用して、管理下にあるWebサービスに認証を委任できます。

1378434153 · 2022 年 10 月 27 日午前 1:52

わかりました、わかりました。やはり無理なお願いだったのかもしれません。

system · 2022 年 11 月 26 日午前 1:52

This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.

トピック		返信	表示
Requiring STRONG password for users with ADMIN privileges Support	4	350	2024 年 4 月 7 日
Is there a way to make the password requirements more simple? Support	19	4700	2024 年 6 月 8 日
Unique characters in password - good or bad? Community	22	6229	2017 年 12 月 4 日
Password settings: "changing this may have far-reaching or unintended consequences for your site" Support	3	37	2025 年 8 月 13 日
Min Password Length vs Block Common Passwords Feature	29	5439	2020 年 8 月 7 日

ユーザーのパスワードの複雑さを強制するにはどうすればよいですか？

関連トピック