パスワード変更とは
パスワード変更機能は、Secretに基づく機能で、ユーザーがアカウントのパスワードをプラットフォームに安全に管理し、定期的に自動的にパスワードを変更できるようにします。この機能は、アカウントのセキュリティを向上させ、ユーザーが弱いパスワードを使用したり、同じパスワードを長期間使用するリスクを回避できるようにすることを目的としています。
なぜ定期的なパスワード変更が重要なのですか?
パスワード変更機能は、ユーザーアカウントの安全を確保する上で非常に重要です。強力なパスワードを使用することは良い出発点ですが、同じパスワードを長期間使用すると、依然としてリスクが残ります。特に、パスワードが漏洩したり、アカウントが侵害された場合にはそうです。パスワードを定期的に変更することで、Mavisキーのゼロトラストアーキテクチャにさらにセキュリティの層が追加されます。
Mavisのパスワード変更メカニズムはどのように機能しますか:
Mavisのキーには、次の2つの異なるローテーション方法があります:
静的(static):Mavisは、入力したパスワードを接続に使用します。
ローテーション可能(rotatable):Mavisは、設定に基づいて、パスワードを使用してデバイスにログインし、そのアカウントで使用されるパスワードを変更します。
キーの更新方法をローテーションに設定した場合、ローテーションの周期と期待されるパスワードの強度も提供する必要があります。
設定が完了すると、システムはユーザーの設定に従って、定期的に(たとえば毎月または2か月ごとに)自動的にパスワードを変更します。
パスワードを変更する際に、システムは新しいランダムなパスワード(設定に基づいて)を生成し、それを使用して、キーを使用しているすべてのデバイスに対してパスワードの変更を実行します。
ユーザーは、パスワード変更後に、結果が監査ログに表示されるようになります。
その他の注意事項:
- 弊社は、BreakGlassの設定を事前に完了することを強くお勧めします。キーが削除された後も、置換されたキーの内容をBreakGlassのファイルから取得できます。
- デバイスの追加または削除時にパスワードのローテーションを設定する必要があります
- Linuxシステムの言語は英語のみをサポートしています
-
(v1.16.0) プロキシ経由で接続されたデバイス(Linux)の鍵ローテーションはサポートされていません。
-
ローテーション周期が月単位の場合、設定された日付が31日の場合、次の月に31日がない場合、自動的に29日または30日に調整されます
-
置換の成功:すべてのデバイスがパスワード置換が完了
-
置換の失敗:1つでもデバイスが失敗した場合、そのキーは次回の自動スケジュール置換に進みません
-
ユーザーは、いつでもプラットフォームを使用して、彼らのパスワード変更履歴を確認して、安全を確保できます。
FAQ
Q:ローテーションを停止したい場合、可能ですか?
A:可能です。ローテーションが完了した後、鍵を静的に変更できます。すべてのアクセスサービスとデバイスに影響はありません。ただし、デバイスのローテーションが失敗した場合、ユーザーが鍵を削除したりローテーション方法を変更することは禁止されます。
Q:パスワード置換はどの通信プロトコルをサポートしていますか?
A:SSH SFTP
Q:パスワード置換はどの形式をサポートしていますか?
A:現在、アカウントパスワード形式のみをサポートしており、キーペアはまだサポートされていません。
Q:パスワード置換中や失敗した場合でも、鍵で接続できますか?
A:はい、パスワードの置換中はユーザーの接続に影響しません。
Q:デバイスのパスワード更新が失敗した場合、どのように処理すればよいですか?
A:失敗した鍵をクリックして、パスワードの置換をやり直すことができます。
Q:パスワード更新が失敗する原因は何ですか?
A:パスワードの更新が失敗する原因はさまざまで、システムの権限不足、接続できないなどがあります。未知のエラーが発生した場合は、監査ログに詳細を確認してください。
Q:手動でローテーションすると自動スケジュールに影響しますか?
A:いいえ、Mavisは前回のキーのローテーションが完了した時間を記録し、手動でローテーションを行った場合も含まれます。スケジュールされたローテーションは、設定に従って引き続き実行されます。
Q:ローテーション中にキーの設定を変更できますか?
A:はい、ただし、ローテーション中のキーは、ローテーション時の設定パラメータ(パスワードの長さ、大文字小文字など)が適用されます。ローテーション中に行った変更は、次回のローテーションで有効になります。
Q:なぜプロキシ経由で接続された Linux デバイスでは鍵ローテーションができないのですか?
A:バージョン v1.16.0 では、プロキシ経由で接続されたデバイス(Linux)の鍵ローテーションはサポートされていません。これは現在のアーキテクチャの制約によるもので、プロキシ経由で接続されたデバイスに対して直接鍵ローテーションを行うことができません。鍵ローテーションが必要な場合は、デバイスがプロキシ経由で接続されていないことを確認してください。