メインコンテンツまでスキップ

パスワードポリシー

パスワードポリシーの設定

新規ユーザーやパスワードを更新するユーザーに対して、パスワードの強度要件を強制するためのパスワードポリシーを設定できます。 コンソール > セキュリティ > パスワードポリシー でパスワードポリシーの設定を行ってください。

  1. 最小パスワード長:パスワードに必要な最小文字数を設定します。(NIST は少なくとも 8 文字 を推奨しています)
  2. 必要な文字種の最小数:パスワードに必要な文字種の最小数を設定します。利用可能な文字種は以下の通りです:
    1. 大文字:(A-Z)
    2. 小文字:(a-z)
    3. 数字:(0-9)
    4. 記号:(!"#$%&'()\*+,-./:;<>=?@[]^\_`|{}~ )
  3. 漏洩履歴チェック:この設定を有効にすると、過去にデータ漏洩で公開されたパスワードを拒否します。( Have I Been Pwned により提供)
  4. 繰り返しチェック:この設定を有効にすると、同じ文字が繰り返されているパスワードを拒否します。(例:「11111111」や「password123」など)
  5. ユーザー情報チェック:この設定を有効にすると、ユーザー名、メールアドレス、電話番号などのユーザー情報を含むパスワードを拒否します。
  6. カスタムワード:パスワードに含めたくないカスタムワード(大文字・小文字を区別しない)のリストを指定できます。

パスワード準拠チェック

Logto でパスワードポリシーを更新した後も、既存ユーザーは現在のパスワードでサインインできます。新しく作成されたアカウントのみが、更新されたポリシーに従う必要があります。

より強力なセキュリティを強制するために、POST /api/sign-in-exp/default/check-password API を利用して、ユーザーのパスワードがデフォルトのサインイン体験で定義された現在のポリシーを満たしているかどうかを確認できます。満たしていない場合は、 Account API を使ったカスタムフローでユーザーにパスワードの更新を促すことができます。

パスワードポリシーの設計