DRUPALの会員制御：パスワードを強化する

会員制サイトの要件としてありがちなパスワード周辺の強化方法。特に「パスワード期限」制御を追加する方法を紹介します。

Password Policyモジュールのインストール

管理 › モジュール › その他 › Password policy

管理 › モジュール › その他 › Password Policy

Password Policyモジュールの設定

管理 › 環境設定 › ユーザー

管理 › 環境設定

［Password policies］をクリックしPassword policiesの環境設定に入ります。

管理 › 環境設定 › ユーザー › Password policies › 環境設定

管理 › 環境設定 › ユーザー › パスワードポリシー

Force password change on reset.
チェックするとパスワードリセット（パスワードの再発行時など）の時にパスワードの変更を強要します。
Expiration settings › Admin(UID=1) password expires.
インストールユーザーに対してもパスワード期限を適用します。
Expiration settings › BEGINNING OF PASSWORBEGINNING OF PASSWORD EXPIRATIONS
パスワード有効期限の始まりを下記より選択します。
◎ デフォルトポリシーを設定から有効期限後（すべてのパスワードがデフォルトポリシーを設定から有効期限の間に有効で、その後有効期限よりも古いパスワードが期限切れ）。
◎ デフォルトのポリシーを設定する（有効期限よりも古いパスワードがデフォルトのポリシー、遡及動作を設定した後に期限切れ）。
Expiration settings › BLOCKING EXPIRED ACCOUNTS
期限切れのアカウントブロックについて下記より選択します。
◎ 期限切れのアカウントがブロックされます。管理者だけが、ブロックを解除することができます。ブロックが解除されると、ユーザーはログインでき、パスワードの変更を強制されます。ログインして1日以内にパスワードを変更しない場合は、再びブロックされます。
◎ 期限切れのアカウントはブロックされません。アカウントが期限切れになったユーザーは、次回ログイン時にパスワードの変更を強制されます。
表示の設定 › Show all restrictions on password change page.
パスワード変更ページのすべての制限を表示します。
E-mail notification settings.
通知メールの設定（Subject, body）の内容設定を行います。

管理 › 環境設定 › Password policy › 追加

パスワードポリシーの詳細設定を行います。

管理 › 環境設定 › ユーザー › パスワードポリシー › 環境設定 › E-mail notification settings

管理用のポリシー名、説明を定義します。
パスワード期限を設定します。
・PASSWORD EXPIRAION：パスワードの期限を日単位で設定します。
・PASSWORD EXPIRATION WARNING：パスワード切れ警告メールの送信タイミングを（パスワード切れーｎ日で）指定します。
Constraints
パスワードの成約を追加します。
「句読点」
　指定数以上の句読点を含む。
「COMPLEXITY」
　指定数以上の小文字、大文字、数字または句読点を含む。
「履歴」
　全てのユーザーのパスワード履歴内に存在しない。
（履歴数は本設定有効後、記録されたパスワードが対象）
　［1］を指定すると対象は自分のみ。
　［2］以上を指定すると記録履歴数。
　［all］を指定すると全ユーザー。
「LOWERCASE」
　指定数以上の小文字を含む。
「DIGIT」
　指定数以上の数字を含む。
「LETTER」
　指定数以上の文字列を含む。
「ユーザー名」
　ユーザー名と一致（大文字小文字区別なし）する文字列を含まない。
「DIGIT PLACEMENT」
　パスワードの先頭のみ、あるいは末尾のみの数字をエラーする。
「ALPHANUMERIC」
　指定数以上の英数字を含む。
「大文字」
　指定数以上の大文字を含む。
「長さ」
　指定長以上の文字列。
「DELAY」
　パスワード変更操作の最低空き時間。