WO2021245786A1

WO2021245786A1 - パスワード認証装置、パスワード認証方法、及びパスワード認証プログラム

Info

Publication number: WO2021245786A1
Application number: PCT/JP2020/021763
Authority: WO
Inventors: 真浩藤田
Original assignee: 三菱電機株式会社
Priority date: 2020-06-02
Filing date: 2020-06-02
Publication date: 2021-12-09
Also published as: DE112020006985T5; US20230025870A1; CN115698991A; JP7150220B2; DE112020006985B4; JPWO2021245786A1

Abstract

ポリシー記憶部（１０５）は、ユーザの認証に用いるパスワードの認定要件を記述した複数のパスワードポリシーであり、パスワードが複数のパスワードポリシーのうち少なくともいずれか１つのパスワードポリシーに準拠していればパスワードを正当なパスワードとして認定可能な複数のパスワードポリシーを記憶する。ポリシー抽出部（１００）は、複数のパスワードポリシーから１つ以上のパスワードポリシーを抽出する。認証情報取得部（１０１）は、パスワードを含む認証情報を取得する。準拠性判定部（１０２）は、認証情報に含まれるパスワードが、１つ以上のパスワードポリシーのうち、少なくともいずれか１つのパスワードポリシーに準拠しているか否かを判定する。認証情報登録部（１０３）は、準拠性判定部（１０２）が少なくともいずれか１つのパスワードポリシーに準拠していると判定したときに、認証情報を登録情報として登録する。

Description

パスワード認証装置、パスワード認証方法、及びパスワード認証プログラム

　本開示は、パスワード認証装置、パスワード認証方法、及びパスワード認証プログラムに関する。

　パスワードを用いたパスワード認証システムでは、ユーザに強固で安全なパスワードを使用してもらうために、パスワード認証システム側が単一のパスワード生成ルール（以下、パスワードポリシーという）を指定する。そして、そのパスワードポリシーに従って、ユーザがパスワードを生成し、登録する方法が用いられている場合がある。しかし、このような方法では、ユーザのパスワードの生成方針とパスワードポリシーとが矛盾していても、ユーザのパスワードの生成方針とかけ離れたパスワードポリシーに従って、ユーザはパスワードを生成し、登録しなければならないという課題があった。
　この課題を解決するために、特許文献１ではユーザ等が入力した文字列からパスワードポリシーに準拠したパスワードを生成するパスワード生成装置が開示されている。より具体的には、特許文献１で開示のパスワード生成装置は、パスワードを構成する文字種別を示すパスワードポリシーを受け付け、受け付けたパスワードポリシーに基づいて、複数の変換パターンのうち使用する変換パターンを決定する。そして、パスワード生成装置は、第１の文字列の入力を受け付け、入力された第１の文字列を解析し、変換に用いられる複数の文字群を抽出する。そして、パスワード生成装置は、決定した変換パターンに基づいて、抽出した複数の文字群を第２の文字列に変換し、変換した第２の文字列を合成してパスワードを生成する。
　このパスワード生成装置によって、ユーザが入力した文字列から、パスワードポリシーに準拠し、且つユーザ自身のパスワードの生成方針に沿った、強固で安全なパスワードを生成することが可能となる。

特開２０１４－１７８９７８号公報

　特許文献１に記載の手法では、パスワードの安全性を保障するために、パスワード生成装置はユーザが入力した文字列を変換する変換パターンは秘密情報として非公開で管理しなければならないという課題があった。
　変換パターンが公開されれば、攻撃者が、ユーザにより入力された文字列を推定し、推定した文字列を公開された変換パターンを用いて変換し、パスワードを推測するというパスワード推測攻撃が可能となる。
　さらに、ユーザにより入力された文字列がパスワードポリシーに準拠せず十分に安全な文字列でなければ、このパスワード推測攻撃は効率的に行われ、パスワードの安全性が保障されない可能性があるからである。

　本開示は、パスワードポリシーに準拠し、且つユーザ自身のパスワードの生成方針に沿った安全なパスワード生成を可能とすることを主な目的とする。

　本開示に係るパスワード認証装置は、
　ユーザの認証に用いるパスワードの認定要件を記述した複数のパスワードポリシーであり、パスワードが前記複数のパスワードポリシーのうち少なくともいずれか１つのパスワードポリシーに準拠していれば前記パスワードを正当なパスワードとして認定可能な複数のパスワードポリシーを記憶するポリシー記憶部と、
　前記ポリシー記憶部が記憶する前記複数のパスワードポリシーから１つ以上のパスワードポリシーを抽出するポリシー抽出部と、
　パスワードを含む認証情報を取得する認証情報取得部と、
　前記認証情報取得部が取得した前記認証情報に含まれるパスワードが、前記ポリシー抽出部が抽出した前記１つ以上のパスワードポリシーのうち、少なくともいずれか１つのパスワードポリシーに準拠しているか否かを判定する準拠性判定部と、
　前記準拠性判定部が前記少なくともいずれか１つのパスワードポリシーに準拠していると判定したときに、前記認証情報を登録情報として登録する認証情報登録部と
を備える。

　本開示によれば、パスワードポリシーに準拠し、且つユーザ自身のパスワードの生成方針に沿った安全なパスワード生成を可能とすることができる。

実施の形態１に係るパスワード認証システムの構成例を示す図。実施の形態１に係るパスワード認証装置のハードウェア構成例を示す図。実施の形態１に係るパスワード認証装置の機能構成例を示す図。実施の形態１に係る認証情報登録の処理を示すフローチャート。実施の形態１に係るポリシー記憶部に記憶される複数のパスワードポリシーの例を示す図。実施の形態１に係る登録フォームへのパスワード入力例を示す図。実施の形態１に係る認証の処理を示すフローチャート。実施の形態１に係る認証フォームへのパスワード入力例を示す図。実施の形態１に係る認証情報登録時に抽出ポリシーを表示したパスワード入力例を示す図。実施の形態２に係るパスワード認証装置の機能構成例を示す図。実施の形態２に係るパスワード認証装置の認証情報登録の処理例を示すフローチャート。実施の形態２に係るポリシー記憶部に記憶される複数のパスワードポリシーの例を示す図。実施の形態２に係る抽出結果記憶部に記憶される抽出ポリシーの例を示す図。実施の形態３に係るパスワード認証装置の機能構成例を示す図。実施の形態３に係る認証情報登録の処理例を示すフローチャート。実施の形態３に係る認証情報登録時のユーザポリシーの選択例を示す図。実施の形態３に係る認証の処理例を示すフローチャート。実施の形態３に係る認証時のパスワード入力例を示す図。実施の形態４に係るパスワード認証システムの構成例を示す図。実施の形態４に係るパスワード認証装置の機能構成例を示す図。実施の形態４に係るポリシー取得部の動作例を示すフローチャート。実施の形態４に係る認証情報登録の処理例を示すフローチャート。実施の形態４に係る変換パスワードの生成例を示すフローチャート。実施の形態４に係る認証の処理例を示すフローチャート。

　以下、本開示の実施の形態について、図を用いて説明する。以下の実施の形態の説明及び図面において、同一の符号を付したものは、同一の部分又は相当する部分を示す。

　実施の形態１．
　本実施の形態について、図１から図９を用いて説明する。
＊＊＊構成の説明＊＊＊
　図１を用いて、本実施の形態に係るパスワード認証システム１の構成例について説明する。
　図１は、本実施の形態に係るパスワード認証システム１の構成例を示す。
　パスワード認証システム１は、パスワード認証装置１０、端末装置２０、及びネットワーク３０を備える。
　パスワード認証装置１０は、端末装置２０を用いて入力されたパスワードを含む認証情報の登録を行う。また、パスワード認証装置１０は、端末装置２０を用いて入力されたパスワードを含む認証情報を用いて認証を行う。
　なお、パスワード認証装置１０の動作手順は、パスワード認証方法に相当する。また、パスワード認証装置１０の動作を実現するプログラムは、パスワード認証プログラムに相当する。
　端末装置２０は、ユーザによる認証情報の入力に用いられる。端末装置２０の具体例は、パーソナルコンピュータである。
　ネットワーク３０は、データを送受信するための有線又は無線の通信路である。ネットワーク３０は、具体例としては、Ｅｔｈｅｒｎｅｔ（登録商標）やＷｉ－Ｆｉ（登録商標）といった通信規格に準拠した通信路、又は機器専用の通信路である。
　パスワード認証装置１０と端末装置２０とは、ネットワーク３０を介して接続される。

　本実施の形態に係るパスワード認証システム１では、大きく分けて認証情報登録と認証という２つのフェーズが存在する。
　認証情報登録では、ユーザが端末装置２０を用いて認証情報をパスワード認証装置１０に入力する。そして、パスワード認証装置１０は、ユーザが入力した認証情報を登録情報として登録する。
　認証では、ユーザが端末装置２０を用いて認証情報をパスワード認証装置１０に入力する。そして、パスワード認証装置１０は、ユーザが入力した認証情報が、ユーザの登録情報と一致した場合に、ユーザの認証を「成功」と判定する。また、パスワード認証装置１０は、ユーザが入力した認証情報が、ユーザの登録情報と一致しなかった場合に、ユーザの認証を「失敗」と判定する。

　図２を用いて、本実施の形態に係るパスワード認証装置１０のハードウェア構成例について説明する。
　図２は、本実施の形態に係るパスワード認証装置１０のハードウェア構成例を示す。
　パスワード認証装置１０は、プロセッサ１１、メモリ１２、補助記憶装置１３、入出力インタフェース１４、及び通信インタフェース１５を備える。
　補助記憶装置１３には、後述する、ポリシー抽出部１００、認証情報取得部１０１、準拠性判定部１０２、認証情報登録部１０３、及び認証情報照合部１０４の機能を実現するプログラムが記憶されている。
　補助記憶装置１３に記憶されたポリシー抽出部１００、認証情報取得部１０１、準拠性判定部１０２、認証情報登録部１０３、及び認証情報照合部１０４の機能を実現するプログラムは、メモリ１２によりロードされる。また当該プログラムはプロセッサ１１に読み出され、実行される。
　また、後述する、ポリシー記憶部１０５、抽出結果記憶部１０６、認証情報記憶部１０７、及び登録情報記憶部１０８は、メモリ１２及び補助記憶装置１３により実現される。

　図３を用いて、本実施の形態に係るパスワード認証装置１０の機能構成例について説明する。
　図３は、本実施の形態に係るパスワード認証装置１０の機能構成例を示す。
　パスワード認証装置１０は、ポリシー抽出部１００、認証情報取得部１０１、準拠性判定部１０２、認証情報登録部１０３、及び認証情報照合部１０４を備える。また、パスワード認証装置１０は、ポリシー記憶部１０５、抽出結果記憶部１０６、認証情報記憶部１０７、及び登録情報記憶部１０８を備える。

　ポリシー記憶部１０５は、ユーザの認証に用いるパスワードの認定要件を記述した複数のパスワードポリシーを記憶する。
　パスワードポリシーは、パスワードが複数のパスワードポリシーのうち少なくともいずれか１つのパスワードポリシーに準拠していればパスワードを正当なパスワードとして認定可能なものである。
　より具体的には、１つのパスワードポリシーには、パスワードに使用可能な文字の使用要件が記述される。
　ここで「文字」とは、以下を１種類以上含むものとする。
　１．半角英字
　２．半角数字
　３．半角記号
　以下では、「文字」が英字、数字、及び記号の３種のみを含む場合について説明する。
　しかし、「文字」は、全角英字、全角数字、又は、全角記号を含んでいてもよい。
　また、「文字」は、漢字、かな、又は、カナを含んでいてもよい。
　さらに、「文字」は、アラビア文字、ギリシア文字、又は、その他の外国の文字を含んでいてもよい。
　１つのパスワードポリシーには、英字、数字、及び記号の３種のうち、少なくとも１種の使用要件が記述されていればよい。安全性を向上させるためには、１つのパスワードポリシーには、英字、数字、及び記号の３種のうち、少なくとも２種以上の使用要件が記述されていることが好ましく、さらに、３種すべての使用要件が記述されていることがより好ましい。
　パスワードポリシーの具体例は、「８文字以上半角英数字」又は「１６文字以上半角英字」である。複数のパスワードポリシーは、これら１つのパスワードポリシーの集合である。ポリシー記憶部１０５に記憶される複数のパスワードポリシーは、ハードコーディングされ、ポリシー記憶部１０５に記憶されてもよい。また、入出力インタフェース１４を介して取得され、ポリシー記憶部１０５に記憶されてもよい。また、複数のパスワードポリシーは、通信インタフェース１５を介して外部のシステム又はデータベース等から取得され、ポリシー記憶部１０５に記憶されてもよい。

　ポリシー抽出部１００は、ポリシー記憶部１０５が記憶する複数のパスワードポリシーから１つ以上のパスワードポリシーを抽出し、抽出結果記憶部１０６に記憶する。以下では、ポリシー抽出部１００が抽出した、１つ以上のパスワードポリシーを抽出ポリシー２００と記す。
　認証情報取得部１０１は、通信インタフェース１５を介して、端末装置２０を用いて入力された認証情報を取得し、認証情報記憶部１０７に記憶する。認証情報は、ユーザの認証に用いられる情報であり、少なくともパスワードが含まれる。認証情報の具体例は、「パスワード」又は「ＩＤとパスワードとの組み合わせ」である。
　準拠性判定部１０２は、認証情報取得部１０１が取得した認証情報に含まれるパスワードが、ポリシー抽出部１００が抽出した抽出ポリシー２００のうち、少なくともいずれか１つのパスワードポリシーに準拠しているか否かを判定する。
　認証情報登録部１０３は、準拠性判定部１０２が少なくともいずれか１つのパスワードポリシーに準拠していると判定したときに、認証情報を登録情報として登録情報記憶部１０８に記憶する。
　認証情報照合部１０４は、端末装置２０を用いて入力されたパスワードを含む認証情報を用いてパスワード認証装置１０に登録された登録情報を照会し、認証情報がユーザの認証を行う。
　抽出結果記憶部１０６は、ポリシー抽出部１００により記憶された抽出ポリシー２００を記憶する。
　認証情報記憶部１０７は、認証情報取得部１０１により記憶された認証情報を記憶する。
　登録情報記憶部１０８は、認証情報登録部１０３により記憶された登録情報を記憶する。

＊＊＊動作の説明＊＊＊
　図４を用いて、本実施の形態に係る認証情報登録の処理例について説明する。以下では、認証情報はパスワードのみであるとして詳細に説明する。
　図４は、本実施の形態に係る認証情報登録の処理例を示す。
　図４の、ステップＳ１００はポリシー抽出部１００、ステップＳ１１０は認証情報取得部１０１、ステップＳ１２０からステップＳ１７０は準拠性判定部１０２、ステップＳ１８０は認証情報登録部１０３の処理に対応する。

　ステップＳ１００では、ポリシー抽出部１００は、ポリシー記憶部１０５に記憶された複数のパスワードポリシーのうち、全てのパスワードポリシーを抽出し、抽出結果記憶部１０６に記憶する。以下では、抽出されたパスワードポリシーを抽出ポリシー２００という。
　そして、ポリシー抽出部１００は、処理が完了したことを準拠性判定部１０２に通知する。

　図５は、本実施の形態に係るポリシー記憶部１０５に記憶される複数のパスワードポリシーの例を示す。
　図５では、ポリシー記憶部１０５に、複数のパスワードポリシーとして、３つのパスワードポリシーが記憶されている。より具体的には、ポリシー記憶部１０５に記憶されている３つのパスワードポリシーは、以下の３つである。
　１．「８文字以上半角英数字」
　２．「１６文字以上半角英字」
　３．「６文字以上半角英字記号」

　次に、ステップＳ１１０では、認証情報取得部１０１は、端末装置２０を用いて入力されたパスワード（以下、入力パスワード２０１という）を取得し、認証情報記憶部１０７に記憶する。
　そして、認証情報取得部１０１は、処理が完了したことを準拠性判定部１０２に通知する。

　図６は、端末装置２０を用いた認証情報登録時の認証情報の入力例である。図６では、端末装置２０のＧＵＩ（Ｇｒａｐｈｉｃ　Ｕｓｅｒ　Ｉｎｔｅｒｆａｃｅ）画面に表示された登録フォームで、パスワードの入力が求められている。また、図６では、ユーザが「System!p@ssowrD」を入力した状態を示している。この状態で「ＯＫ」を押すと、ネットワーク３０を通じてパスワード認証装置１０に「System!p@ssowrD」が入力パスワード２０１として入力される。以下では、入力パスワード２０１が「System!p@ssowrD」であるとして説明を続ける。

　次に、ステップＳ１２０では、準拠性判定部１０２は、ポリシー抽出部１００及び認証情報取得部１０１から処理の完了通知を待つ。
　そして、ポリシー抽出部１００及び認証情報取得部１０１から通知を受ければ、準拠性判定部１０２は、抽出結果記憶部１０６から抽出ポリシー２００を、認証情報記憶部１０７から入力パスワード２０１「System!p@ssowrD」を読み込む。
　そして、準拠性判定部１０２は、読み込んだ全ての抽出ポリシー２００のステータスを「未選択」とする。

　次に、ステップＳ１３０では、準拠性判定部１０２は、全ての抽出ポリシー２００のうち、「未選択」のステータスである抽出ポリシー２００が存在するか否かを確認する。

　次に、ステップＳ１４０では、準拠性判定部１０２が「未選択」のステータスである抽出ポリシー２００が存在することを確認すれば、処理はステップＳ１５０へ進む。
　一方、準拠性判定部１０２が「未選択」のステータスである抽出ポリシー２００が存在しないことを確認すれば、入力パスワード２０１「System!p@ssowrD」は全ての抽出ポリシー２００のいずれにも準拠していない判定する。そして、処理がステップＳ１１０に戻る。

　次に、ステップＳ１５０では、準拠性判定部１０２は、「未選択」のステータスである抽出ポリシー２００のうち、１つの抽出ポリシー２００を選択する。以下では、選択した抽出ポリシー２００を選択ポリシーという。
　そして、準拠性判定部１０２は、選択ポリシーのステータスを「選択」とする。

　次に、ステップＳ１６０では、準拠性判定部１０２は、入力パスワード２０１「System!p@ssowrD」が選択ポリシーに準拠しているか否かを確認する。
　より具体的には、準拠性判定部１０２は、選択ポリシーに記述されたパスワードの認定要件を確認する。そして、準拠性判定部１０２は、入力パスワード２０１が選択ポリシーに記述されたパスワードの認定要件を満たしているか否かを確認する。

　次に、ステップＳ１７０では、準拠性判定部１０２は、入力パスワード２０１「System!p@ssowrD」が、抽出ポリシー２００のうち、いずれか一つのパスワードポリシーである選択ポリシーに準拠しているか否かを判定する。
　より具体的には、準拠性判定部１０２が、入力パスワード２０１「System!p@ssowrD」が選択ポリシーに記述されたパスワードの認定要件を満たしていることを確認すれば、選択ポリシーに「準拠している」と判定する。そして、入力パスワード２０１「System!p@ssowrD」は正当なパスワードと認定される。
　また、準拠性判定部１０２が、入力パスワード２０１「System!p@ssowrD」が選択ポリシーに記述されたパスワードの認定要件を満たしていないことを確認すれば、「準拠していない」と判定する。そして、入力パスワード２０１「System!p@ssowrD」は正当なパスワードと認定されない。
　そして、準拠性判定部１０２は、処理が完了したことを認証情報登録部１０３に通知する。

　以下に具体例を用いて、準拠性判定部１０２による入力パスワード２０１「System!p@ssowrD」が選択ポリシーに準拠しているか否かの判定を説明する。
　入力パスワード２０１が「System!p@ssowrD」で、且つ選択ポリシーが「６文字以上半角英字記号」である場合、「System!p@ssowrD」は「６文字以上半角英字記号」であるため、パスワードの認定要件を満たしている。したがって、準拠性判定部１０２は「準拠している」と判定する。
　また、別の例として、入力パスワード２０１が「hell0hell0」で、且つ選択ポリシーのパスワードが「８文字以上半角英数字」である場合、「hell0hell0」は「８文字以上半角英数字」であるため、パスワードの認定要件を満たしている。したがって、準拠性判定部１０２は「準拠している」と判定する。
　また、別の例として、入力したパスワードが「hell0」で、且つ選択ポリシーが「８文字以上半角英数字」である場合、「hell0」は「８文字以上半角英数字」でないため、パスワードの認定要件を満たさない。したがって、準拠性判定部１０２は「準拠していない」と判定する。
　準拠性判定部１０２が「準拠している」と判定した場合、準拠性判定部１０２は認証情報登録部１０３に処理の完了を通知する。そして処理はステップＳ１８０へ進む。
　一方、準拠性判定部１０２が「準拠していない」と判定した場合、処理はステップＳ１３０に戻る。

　次に、ステップＳ１８０では、認証情報登録部１０３は、準拠性判定部１０２から処理完了の通知を待つ。
　認証情報登録部１０３が準拠性判定部１０２から処理完了の通知を受けた場合、認証情報登録部１０３は、認証情報記憶部１０７に記憶された認証情報である入力パスワード２０１「System!p@ssowrD」を読み込む。そして、認証情報登録部１０３は、登録情報記憶部１０８に登録情報として記憶する。そして、認証情報登録の処理が完了する。

　図７を用いて、本実施の形態に係る認証の処理例について説明する。以下では、認証情報はパスワードのみであるとして詳細に説明する。
　図７は、本実施の形態に係る認証情報登録の処理例を示す。
　図７の、ステップＳ２００は認証情報取得部１０１、ステップＳ２１０からステップＳ２３０は認証情報照合部１０４の処理に対応する。

　ステップＳ２００では、認証情報取得部１０１は、端末装置２０を用いて入力された入力パスワード２０１を取得し、認証情報記憶部１０７に記憶する。
　そして、認証情報取得部１０１は、処理が完了したことを認証情報照合部１０４に通知する。
　図８は、端末装置２０を用いた認証時の認証情報の入力例である。図８では、端末装置２０のＧＵＩ画面に表示された認証フォームで、パスワード入力が求められている。また、図８では、ユーザが「System!p@ssowrD」を入力した状態を示している。この状態で「ＯＫ」を押すと、ネットワーク３０を通じてパスワード認証装置１０に「System!p@ssowrD」が入力パスワード２０１として入力される。以下では、入力パスワード２０１が「System!p@ssowrD」であるとして説明を続ける。

　次に、ステップＳ２１０では、認証情報照合部１０４は、認証情報取得部１０１から処理完了の通知を待つ。
　そして、認証情報照合部１０４が認証情報取得部１０１から処理完了の通知を受けた場合、登録情報記憶部１０８から登録情報であるパスワード（以下、登録パスワード２０２という）を読み込む。以下では、登録パスワード２０２が「System!p@ssowrD」であるとして説明を続ける。
　認証情報照合部１０４は、読み込んだ登録パスワード２０２と入力パスワード２０１とを確認する。

　次に、ステップＳ２２０では、認証情報照合部１０４は、読み込んだ登録パスワード２０２と入力パスワード２０１とが一致するか否かを判定する。
　そして、認証情報照合部１０４が登録パスワード２０２と入力パスワード２０１とが一致すると判定した場合、処理がステップＳ２３０へ進む。
　そして、認証情報照合部１０４が登録パスワード２０２と入力パスワード２０１とが一致しないと判定した場合、処理がステップＳ２００に戻る。
　本例では、登録パスワード２０２「System!p@ssowrD」と入力パスワード２０１「System!p@ssowrD」とが一致するため、処理がステップＳ２３０へ進む。

　次に、ステップＳ２３０では、認証情報照合部１０４は認証を成功とする。そして、認証の処理が完了する。

＊＊＊実施の形態の効果の説明＊＊＊
　以上のように、本実施の形態に係るパスワード認証装置は、複数のパスワードポリシーを記憶する。そして、ユーザ自身のパスワードの生成方針に沿って入力された入力パスワード２０１が、複数のパスワードポリシーから抽出された抽出ポリシー２００のいずれかに準拠すれば、正当なパスワードとして認定され、登録情報として登録される。つまり、秘密情報である変換パターンを用いない。したがって、パスワードポリシーに準拠し、且つユーザ自身のパスワードの生成方針に沿った安全なパスワード生成を可能とすることができる。

＜変形例１＞
　実施の形態１では、パスワード認証システムは、パスワード認証装置１０、端末装置２０、及びネットワーク３０を備えると説明した。また、パスワード認証装置１０は、端末装置２０を用いて入力された認証情報を用いて認証情報登録及び認証を行うと説明した。
　しかし、それに限らず、パスワード認証装置１０は、入出力インタフェース１４を介して入力された認証情報を用いて認証情報登録及び認証を行ってもよい。
　より具体的には、図４のステップＳ１１０では、認証情報取得部１０１は、出力装置のＧＵＩ画面に表示された登録フォームに、入力装置を用いて入力されたパスワードを取得し、認証情報記憶部１０７に記憶してもよい。
　また、図７のステップＳ２００では、認証情報取得部１０１は、出力装置のＧＵＩ画面に表示された認証フォームに、入力装置を用いて入力されたパスワードを取得し、認証情報記憶部１０７に記憶してもよい。
　したがって、パスワード認証システムは、端末装置２０及びネットワーク３０を備えなくてもよい。

＜変形例２＞
　実施の形態１では、図６を用いて、端末装置２０のＧＵＩ画面に表示された登録フォームで、パスワードの入力が求められる例を説明した。
　しかし、パスワード入力の要求は、それに限らず、認証情報取得部１０１が端末装置２０に、端末装置２０のＧＵＩ画面に抽出ポリシー２００を表示させてパスワードの入力を求めてもよい。
　より具体的には、図４のステップＳ１１０では、認証情報取得部１０１は、抽出結果記憶部１０６から抽出ポリシー２００を読み込み、通信インタフェース１５を介して、抽出ポリシー２００を端末装置２０に送信する。そして、認証情報取得部１０１は、端末装置２０に、端末装置２０のＧＵＩ画面に抽出ポリシー２００を表示させ、ユーザにパスワードの入力を求めてもよい。
　図９は、認証情報登録時に抽出ポリシー２００を表示した認証情報の入力例である。図９では、端末装置２０のＧＵＩ画面に抽出ポリシー２００が表示された登録フォームで、パスワードの入力が求められている。また、図９では、ユーザが「ポリシー３：６文字以上半角英字記号」に準拠した「System!p@ssowrD」を入力した状態を示している。この状態で「ＯＫ」を押すと、ネットワーク３０を通じてパスワード認証装置１０に「System!p@ssowrD」が入力パスワード２０１として入力される。

　実施の形態２．
　実施の形態１では、ポリシー抽出部１００が、ポリシー記憶部１０５に記憶された複数のパスワードポリシーのうち、全てのパスワードポリシーを抽出ポリシー２００として抽出した。しかし、ポリシー記憶部１０５に大量の複数のパスワードポリシーを記憶させた上で、ポリシー抽出部１００にパスワードポリシーの強度を計算させ、要求強度を満たすパスワードポリシーのみを抽出させるという運用も可能である。
　本実施の形態では、ポリシー記憶部１０５に記憶された大量の複数のパスワードポリシーから、ポリシー抽出部１００がパスワードポリシーの強度を計算し、要求強度を満たすパスワードポリシーのみを抽出する例を説明する。

　なお、パスワードポリシーの強度とは、パスワードポリシーにより定まるパスワードの安全性を評価する尺度である。パスワードポリシーの強度の具体例は、パスワードポリシーにより定まるパスワードの文字（英字、数字、及び記号）の組み合わせの総数を示すパスワード総数（パスワード空間ともいう）である。
　より具体的には、ｍ種類の文字（英字、数字、及び記号）から、ｎ文字のパスワードが作られるとき、パスワード空間はｍ＾ｎで計算される。ここで「＾」はべき乗を示す。
　「８文字以上半角小文字英字及び半角数字」というパスワードポリシーの具体例を用いてパスワード空間を説明する。
　半角小文字英字（a～z）と半角数字（0～9）とは合わせて計３６種類の文字がある。そして、最低の文字数は、８文字である。したがって、「８文字以上半角小文字英字及び半角数字」というパスワードポリシーの場合、３６＾８が最低のパスワード空間であり、パスワードポリシーの強度である。

　また、要求強度とは、複数のパスワードポリシーから、抽出ポリシー２００を抽出するために用いられる基準である。要求強度の具体例は、「パスワード空間が３６＾８以上」である。また、別の具体例として、「“半角小文字英字と半角数字とから構成される８文字以上”というパスワードポリシーのパスワード空間以上」のように、特定のパスワードポリシーを利用してもよい。

　本実施の形態について、図１０から図１３を用いて説明する。
　本実施の形態では、主に実施の形態１との差異を説明する。
　なお、以下で説明していない事項は、実施の形態１と同様である。

＊＊＊構成の説明＊＊＊
　本実施の形態に係るパスワード認証システムの構成及びパスワード認証装置１０のハードウェア構成は、実施の形態１と同一の構成であるため、説明を省略する。
　図１０を用いて、本実施の形態に係るパスワード認証装置１０の機能構成例について説明する。
　図１０は、本実施の形態に係るパスワード認証装置１０の機能構成例を示す。
　なお、実施の形態１と同一構成部分には同一番号を付してその説明を省略する。

　本実施の形態に係るパスワード認証装置１０は、新たに抽出要件記憶部１０９を備える。
　抽出要件記憶部１０９は、複数のパスワードポリシーからパスワードポリシーを抽出するために用いられる抽出要件を記憶する。抽出要件の具体例は、要求強度である。以下では、抽出要件記憶部１０９が記憶する要求強度を、要求強度２０３と記す。
　抽出要件記憶部１０９に記憶される要求強度２０３は、ハードコーディングされ、抽出要件記憶部１０９に記憶されてもよい。また、要求強度２０３は、入出力インタフェース１４を介して取得され、抽出要件記憶部１０９に記憶されてもよい。また、要求強度２０３は、通信インタフェース１５を介して外部のシステム又はデータベース等から取得され、抽出要件記憶部１０９に記憶されてもよい。
　抽出要件記憶部１０９は、メモリ１２及び補助記憶装置１３により実現される。

　また、本実施の形態に係るポリシー抽出部１００は、ポリシー記憶部１０５に記憶された複数のパスワードポリシーの各々のパスワードポリシーのパスワード空間を計算する。また、ポリシー抽出部１００は、抽出要件記憶部１０９に記憶された要求強度２０３を読み込む。そして、ポリシー抽出部１００は、各々のパスワードポリシーのパスワード空間と要求強度２０３とを用いて複数のパスワードポリシーから抽出ポリシー２００を抽出し、抽出結果記憶部１０６に記憶する。

＊＊＊動作の説明＊＊＊
　図１１を用いて、本実施の形態に係る認証情報登録の処理例について説明する。以下では、認証情報はパスワードのみであるとして詳細に説明する。
　図１１は、本実施の形態に係る認証情報登録の処理例を示す。
　なお、実施の形態１と同一の動作には同一番号を付してその説明を省略する。
　図１１の、ステップＳ１００からステップＳ３７０はポリシー抽出部１００の処理に対応する。

　ステップＳ１００は、実施の形態１と同一の動作であるため、説明を省略する。
　図１２は、本実施の形態に係るポリシー記憶部１０５に記憶される複数のパスワードポリシーの例を示す。
　図１２では、ポリシー記憶部１０５に、複数のパスワードポリシーとして、４つのパスワードポリシーが記憶されていることが示されている。より具体的には、ポリシー記憶部１０５に記憶されている４つのパスワードポリシーは、以下の４つである。
　１．「８文字以上半角英数字」
　２．「１６文字以上半角英字」
　３．「６文字以上半角英字記号」
　４．「４桁半角数字」

　ステップＳ１００の後、ステップＳ３００では、ポリシー抽出部１００は、抽出要件記憶部１０９に記憶された要求強度２０３を読み込む。
　以下では、要求強度２０３の具体例として、「パスワード空間が１００，０００以上」がポリシー抽出部１００に読み込まれる例を説明する。

　次に、ステップＳ３１０では、ポリシー抽出部１００は、全ての抽出ポリシー２００のステータスを「未選択」とする。

　次に、ステップＳ３２０では、ポリシー抽出部１００は、全ての抽出ポリシー２００のうち、「未選択」のステータスである抽出ポリシー２００が存在するか否かを確認する。

　次に、ステップＳ３３０では、ポリシー抽出部１００が、全ての抽出ポリシー２００のうち、「未選択」のステータスである抽出ポリシー２００が存在することを確認すれば、処理はステップＳ３４０へ進む。
　一方、ポリシー抽出部１００が、全ての複数のパスワードポリシーのうち、「未選択」のステータスであるパスワードポリシーが存在しないことを確認すれば、ポリシー抽出部１００は、後述の強度確認ポリシーを用いて、抽出結果記憶部１０６に記憶された抽出ポリシー２００を更新する。そして、ポリシー抽出部１００は、処理が完了したことを準拠性判定部１０２に通知する。そして、処理は図４のステップＳ１１０へ進む。なお、図４のステップＳ１１０へ進んだ以降の動作は、実施の形態１の動作と同一の動作であるため、説明を省略する。

　次に、ステップＳ３４０では、ポリシー抽出部１００は、「未選択」のステータスである抽出ポリシー２００のうち、１つの抽出ポリシー２００を選択する。以下ではポリシー抽出部１００が選択した抽出ポリシー２００を強度確認ポリシーという。
　そして、ポリシー抽出部１００は、強度確認ポリシーのステータスを「選択」とする。

　次に、ステップＳ３５０では、ポリシー抽出部１００は、強度確認ポリシーのパスワードポリシーの強度を計算する。より具体的には、ポリシー抽出部１００は、強度確認ポリシーに記述されたパスワードに使用可能な文字（英字、数字、及び記号）の使用要件により定まるパスワードの文字（英字、数字、及び記号）の組み合わせの総数を示すパスワード空間を計算する。
　そして、ポリシー抽出部１００は、要求強度２０３のパスワード空間を確認する。
　本例では、要求強度２０３は、「パスワード空間が１００，０００以上」であるため、要求強度２０３のパスワード空間は１００，０００以上である。
　また、別の例として、要求強度２０３が「“８文字以上半角小文字英字及び半角数字”というパスワードポリシーのパスワード空間以上」のように特定のパスワードポリシーを利用したものであれば、ポリシー抽出部１００は、要求強度２０３のパスワード空間を計算し、確認する。

　次に、ステップＳ３６０では、ポリシー抽出部１００は、強度確認ポリシーのパスワードポリシーの強度が要求強度２０３を満たしているか否かを判定する。
　ポリシー抽出部１００が強度確認ポリシーのパスワードポリシーの強度は要求強度２０３を満たしていると判定した場合、処理はステップＳ３７０へ進む。
　一方、ポリシー抽出部１００が強度確認ポリシーのパスワードポリシーの強度は要求強度２０３を満たしていないと判定した場合、処理はステップＳ３２０に戻る。
　半角英字は、大文字英字A～Z、及び小文字英字a～zの５２種類の文字である。また、半角数字は、0～9の１０種類の数字である。また、記号は、便宜上、３２種類の記号とする。
　つまり、図１２に示す４つの複数のパスワードポリシーの各々のパスワード空間は、以下の通り計算される。
　１．「８文字以上半角英数字」の場合、６２＾８（なお、６２＾８＞１００，０００）。
　２．「１６文字以上半角英字」の場合、５２＾１６（なお、５２＾１６＞１００，０００）。
　３．「６文字以上半角英字記号」の場合、８４＾６（なお、８４＾６＞１００，０００）。
　４．「４桁半角数字」の場合、１０＾４（なお、１０＾４＜１００，０００）。
　したがって、上記４つの複数のパスワードポリシーのうち、（１）、（２）、（３）は要求強度２０３を満たす。また、上記４つの複数のパスワードポリシーのうち、（４）は要求強度２０３を満たさない。

　次に、ステップＳ３７０では、ポリシー抽出部１００は、抽出ポリシー２００の更新に用いるため、強度確認ポリシーを記憶する。
　図１３は、本実施の形態に係る抽出結果記憶部１０６に記憶される抽出ポリシー２００の例を示す。
　図１３では、図１２の複数のパスワードポリシーのうち、抽出結果記憶部１０６に、抽出ポリシー２００として、３つのパスワードポリシーが記憶されていることが示されている。より具体的には、抽出結果記憶部１０６に記憶されている３つのパスワードポリシーは、以下の３つである。
　１．「８文字以上半角英数字」
　２．「１６文字以上半角英字」
　３．「６文字以上半角英字記号」

＊＊＊実施の形態の効果の説明＊＊＊
　以上のように、本実施の形態によれば、パスワード認証装置は、大量に用意された複数のパスワードポリシーから、要求強度を満たすパスワードポリシーのみを抽出する。そして、パスワード認証装置は、認証情報登録時に抽出したパスワードポリシーを用いてパスワードを認定し、登録情報として登録する。つまり、パスワード認証装置は、秘密情報である変換パターンを用いない。したがって、パスワードポリシーに準拠し、且つユーザ自身のパスワードの生成方針に沿った安全なパスワード生成を可能とすることができる。
　さらに、パスワード認証装置の管理者は、予め大量に複数のパスワードポリシーを用意しておけば、抽出要件を変更するだけで認証情報登録時に登録が認められるパスワードの安全性の基準を調整することができる。つまり、パスワード認証装置の管理者が、認証情報登録時に登録が認められるパスワードの安全性の基準を調整する都度、複数のパスワードポリシーを用意する必要がなくなる。したがって、パスワード認証装置の管理者が認証情報登録時に登録が認められるパスワードの安全性の基準を調整するために複数のパスワードポリシーを用意しなければいけない手間を削減することが可能である。

　実施の形態３．
　実施の形態１では、入力パスワード２０１が、抽出結果記憶部１０６に記憶された抽出ポリシー２００のうち、どの抽出ポリシー２００に準拠するかを一つ一つ確認するという方法がとられていた。しかし、図９のように抽出ポリシー２００をユーザに提示した際に、提示した抽出ポリシー２００のうち、ユーザに抽出ポリシー２００を選択させることも可能である。
　本実施の形態では、認証情報取得部１０１が、端末装置２０に、端末装置２０のＧＵＩ画面に抽出ポリシー２００を表示させ、パスワードの入力と共に利用する抽出ポリシー２００の選択を求める例を説明する。
　本実施の形態について、図１４から図１８を用いて説明する。
　本実施の形態では、主に実施の形態１との差異を説明する。
　なお、以下で説明していない事項は、実施の形態１と同様である。

＊＊＊構成の説明＊＊＊
　本実施の形態に係るパスワード認証システムの構成及びパスワード認証装置１０のハードウェア構成は、実施の形態１及び実施の形態２と同一の構成であるため、説明を省略する。
　次に、図１４を用いて、本実施の形態に係るパスワード認証装置１０の機能構成例について説明する。
　図１４は、本実施の形態に係るパスワード認証装置１０の機能構成例を示す。
　なお、実施の形態１と同一構成部分には同一番号を付してその説明を省略する。

　本実施の形態に係るパスワード認証装置１０の機能構成は、実施の形態１と同一の構成である。ただし、認証情報取得部１０１、準拠性判定部１０２、及び準拠性判定部１０２の動作が異なる。
　本実施の形態に係る認証情報取得部１０１は、認証情報登録時に、ポリシー抽出部１００が抽出した１つ以上のパスワードポリシーである抽出ポリシー２００を認証情報の入力画面に表示する。より具体的には、認証情報取得部１０１は、端末装置２０に、端末装置２０のＧＵＩ画面に抽出ポリシー２００を表示させることで、抽出ポリシー２００を認証情報の入力画面に表示する。そして、認証情報取得部１０１は、表示された抽出ポリシー２００のうち、ユーザにより選択されたパスワードポリシーを、ユーザポリシー２０４として取得する。
　また、認証情報取得部１０１は、認証情報登録時に、登録情報記憶部１０８に記憶されたユーザポリシー２０４を認証情報の入力画面に表示する。より具体的には、認証情報取得部１０１は、端末装置２０に、端末装置２０のＧＵＩ画面にユーザポリシー２０４を表示させることで、ユーザポリシー２０４を認証情報の入力画面に表示する。
　本実施の形態に係る準拠性判定部１０２は、認証情報取得部１０１が取得した認証情報に含まれる入力パスワード２０１が、ユーザポリシー２０４に準拠しているか否かを判定する。
　本実施の形態に係る認証情報登録部１０３は、準拠性判定部１０２が認証情報に含まれる入力パスワード２０１はユーザポリシー２０４に準拠していると判定したときに、認証情報及びユーザポリシー２０４を登録情報として登録する。

＊＊＊動作の説明＊＊＊
　図１５を用いて、本実施の形態に係る認証情報登録の処理例について説明する。以下では、認証情報はパスワードのみであるとして詳細に説明する。
　図１５は、本実施の形態に係る認証情報登録の処理例を示す。
　なお、実施の形態１と同一の動作には同一番号を付してその説明を省略する。
　図１５の、ステップＳ１００がポリシー抽出部１００、ステップＳ４００が認証情報取得部１０１、ステップＳ４１０及びステップＳ４２０が準拠性判定部１０２、ステップＳ１８０及びステップＳ４３０が認証情報登録部１０３の処理に対応する。

　ステップＳ１００は、実施の形態１と同一の動作であるため、説明を省略する。

　ステップＳ１００の後、ステップＳ４００では、認証情報取得部１０１は、抽出結果記憶部１０６から抽出ポリシー２００を読み込む。そして、認証情報取得部１０１は、通信インタフェース１５を介して、端末装置２０に抽出ポリシー２００を送信する。そして、認証情報取得部１０１は、端末装置２０に、端末装置２０のＧＵＩ画面に抽出ポリシー２００を表示させる。そして、認証情報取得部１０１は、端末装置２０を用いて入力された入力パスワード２０１及び選択されたユーザポリシー２０４を取得し、認証情報記憶部１０７に記憶する。
　そして、認証情報取得部１０１は、処理が完了したことを準拠性判定部１０２に通知する。

　図１６は、端末装置２０を用いた認証情報登録時のユーザポリシー２０４の選択例である。図１６では、端末装置２０のＧＵＩ画面に抽出ポリシー２００が表示された登録フォームで、ユーザポリシー２０４の選択が求められている。また、図１６では、ユーザが「ポリシー３：６文字以上半角英字記号」を選択した状態を示している。この状態で「ＯＫ」を押すと、ネットワーク３０を通じてパスワード認証装置１０に「６文字以上半角英字記号」がユーザポリシー２０４として入力される。

　次に、ステップＳ４１０では、準拠性判定部１０２は、認証情報取得部１０１からの通知を待つ。
　そして、ポリシー抽出部１００及び認証情報取得部１０１から通知を受ければ、準拠性判定部１０２は、認証情報記憶部１０７から入力パスワード２０１及びユーザポリシー２０４を読み込む。
　そして、準拠性判定部１０２は、入力パスワード２０１がユーザポリシー２０４に準拠しているか否かを確認する。
　より具体的には、準拠性判定部１０２は、ユーザポリシー２０４に記述されたパスワードの認定要件を確認する。そして、準拠性判定部１０２は、入力パスワード２０１がユーザポリシー２０４に記述されたパスワードの認定要件を満たしているか否かを確認する。

　次に、ステップＳ４２０では、準拠性判定部１０２は、入力パスワード２０１がユーザポリシー２０４に準拠しているか否かを判定する。
　より具体的には、準拠性判定部１０２が、入力パスワード２０１がユーザポリシー２０４に記述されたパスワードの認定要件を満たしていることを確認すれば、「準拠している」と判定する。そして、入力パスワード２０１は正当なパスワードと認定される。
　また、準拠性判定部１０２が、入力パスワード２０１がユーザポリシー２０４に記述されたパスワードの認定要件を満たしていないことを確認すれば、「準拠していない」と判定する。そして、入力パスワード２０１は正当なパスワードと認定されない。
　準拠性判定部１０２が「準拠している」と判定した場合、準拠性判定部１０２は認証情報登録部１０３に処理の完了を通知する。そして処理はステップＳ１８０へ進む。
　一方、準拠性判定部１０２が「準拠していない」と判定した場合、処理はステップＳ４００に戻る。

　ステップＳ１８０は、実施の形態１と同一の動作であるため、説明を省略する。

　次に、ステップＳ４３０では、認証情報登録部１０３は、認証情報記憶部１０７に記憶されたユーザポリシー２０４を読み込み、登録情報記憶部１０８に登録情報として記憶する。そして、認証情報登録の処理が完了する。

　図１７を用いて、本実施の形態に係る認証の処理例について説明する。以下では、認証情報はパスワードのみであるとして詳細に説明する。
　図１７は、本実施の形態に係る認証情報登録の処理例を示す。
　なお、実施の形態１と同一の動作には同一番号を付してその説明を省略する。
　図１７の、ステップＳ５００及びステップＳ５１０は認証情報取得部１０１、ステップＳ２１０からステップＳ２３０は認証情報照合部１０４の処理に対応する。

　ステップＳ５００では、認証情報取得部１０１は、登録情報記憶部１０８からユーザポリシー２０４を読み込む。
　以下では、認証情報取得部１０１が、ユーザポリシー２０４として「６文字以上半角英字記号」を読み込んだものとして説明を行う。

　次に、ステップＳ５１０では、認証情報取得部１０１は、端末装置２０に、端末装置２０のＧＵＩ画面にユーザポリシー２０４表示させることで、ユーザポリシー２０４に準拠した入力パスワード２０１を取得する。
　より具体的には、認証情報取得部１０１は、通信インタフェース１５を介して、端末装置２０にユーザポリシー２０４を送信する。そして、認証情報取得部１０１は、端末装置２０に、端末装置２０のＧＵＩ画面にユーザポリシー２０４を表示させる。そして、認証情報取得部１０１は、端末装置２０を用いて入力された入力パスワード２０１を取得し、認証情報記憶部１０７に記憶する。
　そして、認証情報取得部１０１は、処理が完了したことを準拠性判定部１０２に通知する。

　図１８は、本実施の形態に係る、端末装置２０を用いた認証時の認証情報の入力例である。図１８では、端末装置２０のＧＵＩ画面に表示された認証フォームで、パスワード入力が求められている。また、端末装置２０のＧＵＩ画面に表示された認証フォームで、ユーザポリシー２０４である「６文字以上半角英字記号」が表示されている。また、図１８では、ユーザが「System!p@ssowrD」を入力した状態を示している。この状態で「ＯＫ」を押すと、ネットワーク３０を通じてパスワード認証装置１０に「System!p@ssowrD」が入力パスワード２０１として入力される。

　次に、ステップＳ５２０では、認証情報照合部１０４は、認証情報取得部１０１から処理完了の通知を待つ。
　そして、認証情報照合部１０４が認証情報取得部１０１から処理完了の通知を受けた場合、登録情報記憶部１０８から登録情報である登録パスワード２０２を読み込む。
　認証情報照合部１０４は、読み込んだ登録パスワード２０２と入力パスワード２０１とを確認する。

　ステップＳ２１０からステップＳ２３０は、実施の形態１と同一の動作であるため、説明を省略する。そして、認証情報登録の処理が完了する。

＊＊＊実施の形態の効果の説明＊＊＊
　以上のように、本実施の形態によれば、パスワード認証装置は、認証情報登録時に、複数のパスワードポリシーの中から、ユーザに使用したいパスワードポリシーを選択させる。そして、パスワード認証装置は、パスワードを含む認証情報と共にユーザが選択したパスワードポリシーを取得し、登録情報として登録する。つまり、パスワード認証装置は、秘密情報である変換パターンを用いない。したがって、パスワードポリシーに準拠し、且つユーザ自身のパスワードの生成方針に沿った安全なパスワード生成を可能とすることができる。
　さらに、ユーザは、認証時において、端末装置のＧＵＩに表示された、認証情報登録時に自身が選択したパスワードポリシーを確認しながらパスワードを入力することができる。したがって、ユーザの利便性が高めることができる。

　実施の形態４．
　実施の形態１から実施の形態３では、パスワード認証システム１で、パスワード認証装置１０が、認証情報登録及び認証を行う例を説明した。
　しかし、パスワード認証システム１に別のパスワード認証システムが存在し、認証情報登録及び認証を行う場合もある。そして、別のパスワード認証システムが認証情報登録及び認証に使用するパスワードポリシーを指定し、パスワードポリシーの変更又は追加等が出来ない場合もある。そして、そのような場合、実施の形態１から実施の形態３のように、ユーザ自身のパスワードの生成方針に沿ったパスワード生成を実現することが出来ない可能性がある。
　そこで、本実施の形態では、パスワード認証装置１０が、別のパスワード認証システムの認証情報登録及び認証時に、ユーザが入力する認証情報の仲介を行う例を説明する。
　本実施の形態について、図１９から図２４を用いて説明する。
　本実施の形態では、主に実施の形態２との差異を説明する。
　なお、以下で説明していない事項は、実施の形態２と同様である。

＊＊＊構成の説明＊＊＊
　本実施の形態に係るパスワード認証装置１０のハードウェア構成は、実施の形態１と同一の構成であるため、説明を省略する。
　図１９を用いて、本実施の形態に係るパスワード認証システム１の構成例について説明する。
　図１９は、本実施の形態に係るパスワード認証システム１の構成例を示す。
　パスワード認証システム１は、パスワード認証装置１０、端末装置２０、及びネットワーク３０に加え、新たに外部認証システム４０を備える。

　本実施の形態に係るパスワード認証装置１０は、端末装置２０を用いて入力された認証情報に含まれるパスワードを変換し、変換パスワード２０７を生成する。そして、パスワード認証装置１０は、認証情報登録時及び認証時に、変換パスワード２０７を含む認証情報を外部認証システム４０に入力する。
　外部認証システム４０は、パスワード認証装置１０の外部で、ユーザの認証を行う。より具体的には、外部認証システム４０は、パスワード認証装置１０の外部で、パスワード認証装置１０が生成した変換パスワード２０７を含む認証情報の登録を行う。また、外部認証システム４０は、パスワード認証装置１０の外部で、パスワード認証装置１０が生成した変換パスワード２０７を含む認証情報を用いて認証を行う。
　パスワード認証装置１０と端末装置２０とは、ネットワーク３０を介して接続される。また、パスワード認証装置１０と外部認証システム４０とは、ネットワーク３０を介して接続される。

　図２０を用いて、本実施の形態に係るパスワード認証装置１０の機能構成例について説明する。
　図２０は、本実施の形態に係るパスワード認証装置１０の機能構成例を示す。
　なお、実施の形態２及び実施の形態３と同一構成部分には同一番号を付してその説明を省略する。
　本実施の形態に係るパスワード認証装置１０は、新たにポリシー取得部１１０及び取得ポリシー記憶部１１２を備える。また、パスワード認証装置１０は、認証情報照合部１０４に代わり、認証情報仲介部１１１を備える。

　ポリシー取得部１１０は、パスワード認証装置１０の外部で認証を行う外部認証システム４０がユーザの認証に用いるパスワードポリシーを取得ポリシー２０５として取得し、取得ポリシー記憶部１１２に記憶する。そして、ポリシー取得部１１０は、取得ポリシー２０５により定まるパスワードの文字（英字、数字、及び記号）の組み合わせの総数を示す取得ポリシー２０５のパスワード総数を計算し、計算結果を要求強度２０３として抽出要件記憶部１０９に記憶する。以下では、取得ポリシー２０５により定まるパスワードの文字（英字、数字、及び記号）の組み合わせの総数を示す取得ポリシー２０５のパスワード総数を組み合わせ総数２０６と記す。
　認証情報仲介部１１１は、認証情報登録時に、登録情報記憶部１０８から登録情報を読み込み、登録情報に含まれる登録パスワード２０２を取得ポリシー２０５に準拠する変換パスワード２０７へと変換する。そして、認証情報仲介部１１１は、登録情報及び変換パスワード２０７を用いて、外部認証システム４０に、外部認証システム４０の認証に用いられる認証情報を入力する。
　また、認証情報仲介部１１１は、認証時に、認証情報記憶部１０７から認証情報を読み込み、認証情報に含まれる入力パスワード２０１を取得ポリシー２０５に準拠する変換パスワード２０７へと変換する。そして、認証情報仲介部１１１は、認証情報及び変換パスワード２０７を用いて、外部認証システム４０に、外部認証システム４０の認証に用いられる認証情報を入力する。
　また、本実施の形態に係る認証情報取得部１０１、準拠性判定部１０２、及び準拠性判定部１０２は、実施の形態３と同一の動作を行う。また、図２０の認証情報取得部１０１、準拠性判定部１０２、及び準拠性判定部１０２以外の構成部分は、実施の形態２と同一の動作を行う。
　取得ポリシー記憶部１１２は、ポリシー取得部１１０が取得した取得ポリシー２０５を記憶する。
　ポリシー取得部１１０及び認証情報仲介部１１１を実現するプログラムは補助記憶装置１３に記憶されている。
　補助記憶装置１３に記憶されたポリシー取得部１１０及び認証情報仲介部１１１を実現するプログラムは、メモリ１２によりロードされる。また当該プログラムはプロセッサ１１に読み出され、実行される。
　取得ポリシー記憶部１１２は、メモリ１２及び補助記憶装置１３により実現される。

＊＊＊動作の説明＊＊＊
　図２１を用いて、本実施の形態に係るポリシー取得部１１０の動作例について説明する。以下では、認証情報はパスワードのみであるとして詳細に説明する。
　図２１は、本実施の形態に係るポリシー取得部１１０の動作例を示す。
　本実施の形態に係るポリシー取得部１１０の動作は、認証情報登録の処理の前に行われる。

　ステップＳ６００では、ポリシー取得部１１０は、通信インタフェース１５を介して、外部認証システム４０からユーザの認証に用いるパスワードポリシーを取得ポリシー２０５として取得する。そして、ポリシー取得部１１０は、取得ポリシー２０５を取得ポリシー記憶部１１２に記憶する。

　次に、ステップＳ６１０では、ポリシー取得部１１０は、取得ポリシー２０５のパスワードポリシーの強度を計算し、計算結果を要求強度２０３として抽出要件記憶部１０９に記憶する。
　具体的には、ポリシー取得部１１０は、取得ポリシー２０５に記述されたパスワードに使用可能な文字（英字、数字、及び記号）の使用要件により定まるパスワードの文字（英字、数字、及び記号）の組み合わせの総数を示す組み合わせ総数２０６を計算する。
　そして、ポリシー取得部１１０は、組み合わせ総数２０６を要求強度２０３として抽出要件記憶部１０９に記憶する。そして、ポリシー取得部１１０の処理が完了する。

　図２２を用いて、本実施の形態に係る認証情報登録の処理例について説明する。以下では、認証情報はパスワードのみであるとして詳細に説明する。
　図２２は、本実施の形態に係る認証情報登録の処理例を示す。
　なお、実施の形態２及び実施の形態３と同一の動作には同一番号を付してその説明を省略する。
　図２２の、ステップＳ１００からステップＳ３７０及びステップＳ７００がポリシー抽出部１００、ステップＳ４００が認証情報取得部１０１、ステップＳ４１０及びステップＳ４２０が準拠性判定部１０２の処理に対応する。また、ステップＳ１８０及びステップＳ４３０が認証情報登録部１０３、ステップＳ７１０及びステップＳ７２０が認証情報仲介部１１１の処理に対応する。

　ステップＳ１００からステップＳ３２０は、実施の形態２と同一の動作であるため、説明を省略する。

　ステップＳ３２０の後、ステップＳ７００では、ポリシー抽出部１００が、全ての抽出ポリシー２００のうち、「未選択」のステータスである抽出ポリシー２００が存在することを確認すれば、処理はステップＳ３４０へ進む。
　一方、ポリシー抽出部１００が、全ての複数のパスワードポリシーのうち、「未選択」のステータスであるパスワードポリシーが存在しないことを確認すれば、ポリシー抽出部１００は、強度確認ポリシーを用いて、抽出結果記憶部１０６に記憶された抽出ポリシー２００を更新する。そして、ポリシー抽出部１００は、処理が完了したことを準拠性判定部１０２に通知する。そして、処理はステップＳ４００へ進む。

　ステップＳ３４０からステップＳ３７０は、実施の形態２と同一の動作であるため、説明を省略する。また、ステップＳ４００からステップＳ４３０は、実施の形態３と同一の動作であるため、説明を省略する。

　ステップＳ４３０の後、ステップＳ７１０では、認証情報仲介部１１１は、登録情報記憶部１０８より、登録情報である登録パスワード２０２を読み込む。また、認証情報仲介部１１１は、取得ポリシー記憶部１１２より、取得ポリシー２０５を読み込む。
　そして、認証情報仲介部１１１は、登録パスワード２０２を取得ポリシー２０５に準拠するように変換し、変換パスワード２０７を生成する。
　変換は、後述の、登録パスワード２０２を取得ポリシー２０５に準拠するように変換する変換アルゴリズム（変換パターンともいう）を用いて行われる。変換アルゴリズムは、変換の際に、パスワードの安全性を低下させないように構築されたものである。変換アルゴリズムは、公開情報であってもよい。

　次に、ステップＳ７２０では、認証情報仲介部１１１は、通信インタフェース１５を介して、変換パスワード２０７を用いて外部認証システム４０に、外部認証システム４０の認証に用いられる認証情報を入力する。そして、外部認証システム４０で、認証情報登録が行われる。そして、認証情報登録の処理が完了する。

　図２３を用いて、本実施の形態に係る変換パスワード２０７の生成例について説明する。以下では、認証情報はパスワードのみであるとして詳細に説明する。
　図２３は、本実施の形態に係る変換パスワード２０７の生成例を示す。
　以下では、具体例として、登録パスワード２０２が「p@ssword」であり、取得ポリシー２０５が「５文字以上半角小文字英字」である場合の、変換パスワード２０７の生成の動作を詳細に説明する。なお、本例の登録パスワード２０２及び取得ポリシー２０５は、変換パスワード２０７の生成の説明を明瞭に行うための単純な例であり、安全性が低いため、実際の運用では用いない方が好ましい。

　ステップＳ８００では、認証情報仲介部１１１は、変数Ｓを定義し、登録パスワード２０２「p@ssword」を格納する。

　次に、ステップＳ８１０では、認証情報仲介部１１１は、取得ポリシー２０５に記述されたパスワードに使用可能な文字（英字、数字、及び記号）の使用要件に基づき、使用可能な文字の種類の総数ｘを算出する。
　本例では、取得ポリシー２０５が「５文字以上半角小文字英字」であるため、総数ｘはｘ＝２６である。

　次に、ステップＳ８２０では、認証情報仲介部１１１は、取得ポリシー２０５に記述されたパスワードに使用可能な文字（英字、数字、及び記号）の使用要件に基づく使用可能な文字の各々に対してインデックス（０，１，２，…，ｘ－１）を割り当てる。
　本例では、取得ポリシー２０５が「５文字以上半角小文字英字」であり、使用可能な文字は、a～zである。そのため、認証情報仲介部１１１は、インデックスを、a＝０、b＝１、…、g＝６、h＝７、…、z＝２５と割り当てる。

　次に、ステップＳ８３０では、認証情報仲介部１１１は、変数Ｓをハッシュ化する。
　以下では、ハッシュ化した変数ＳをＴと記す。
　ハッシュ化は、暗号学的に安全であれば、任意のハッシュ関数を利用してよい。
　ハッシュ化の具体例としてＳＨＡ２５６を利用した場合、認証情報仲介部１１１は、変数Ｓ（＝p@ssword）をハッシュ化し、Ｔ（＝０ｆｄ２０５９６５ｃｅ１６９ｂ５ｃ０２３２８２ｂｂ５ｆａ２ｅ２３９ｂ６７１６７２６ｄｂ５ｄｅｆａａ８ｃｅｆｆ２２５ｂｅ８０５ｄｃ）へ変換する。

　次に、ステップＳ８４０では、認証情報仲介部１１１は、ステップＳ８３０でＴをｘ進数表現に変換する。
　本例では、ｘはｘ＝２６であるため、認証情報仲介部１１１は、Ｔを２６進数表現に変換する。
　以下では、２６進数表現に変換されたＴをＶと記す。
　ただし、認証情報仲介部１１１は、Ｔを一旦ｙ進数（ｙはｘ以下の数）表現に変換し、その後さらにｙ進数表現に変換したＴをｘ進数に変換してもよい。具体例としては、認証情報仲介部１１１は、Ｔを一旦１６進数表現に変換し、その後さらに２６進数表現に変換してもよい。
　本例のＴは、一旦１６進数表現へ変換され、その後更に２６進数表現に変換される。
　そして、本例のＶはＶ＝「７、６、２１、６、１６、６、２５、７、５、１３、１０、４、１５、１８、２、８、１２、１９、２４、１１、２０、１８、１０、２１、１９、５、２５、１４、２１、８、２０、１１、３、２１、５、１９、２３、７、２３、２３、８、５、１９、２２、５、８、１０、１、７、１８、６、２５、２１、６」である。なお、Ｖの数字と数字との間のカンマ「、」は、各桁の区切りを示す。具体例としては、Ｖの先頭から１桁目の値は「７」であり、先頭から２桁目の値は「６」であることを示す。

　次に、ステップＳ８５０では、認証情報仲介部１１１は、Ｖの各桁の値をインデックスとした文字へ変換し、Ｖを文字列Ｗへ変換する。
　本例のＶの先頭から１桁目の値は「７」である。そして、インデックス「７」が割り当てられた文字は「h」である。したがって、Ｖの先頭から１桁目は「h」に変換される。
　また、本例のＶの先頭から２桁目の値は「６」である。そして、インデックス「６」が割り当てられた文字は「g」である。したがって、Ｖの先頭から２桁目は「g」に変換される。
　このように、認証情報仲介部１１１は、Ｖの全ての桁の値を文字へ変換することで、Ｖを文字列Ｗへ変換する。
　そして、本例のＷは、Ｗ＝「hgvgqgzhfnkepscimtyluskvtfzoviuldvftxhxxiftwfikbhsgzvg」である。

　次に、ステップＳ８６０では、認証情報仲介部１１１は、Ｗが取得ポリシー２０５に記述されたパスワードに使用可能な文字（英字、数字、及び記号）の使用要件を満たしているか否かを確認する。

　次に、ステップＳ８７０では、認証情報仲介部１１１が、Ｗは取得ポリシー２０５に記述されたパスワードに使用可能な文字（英字、数字、及び記号）の使用要件を満たしていることを確認すれば、処理はステップＳ８８０へ進む。
　一方、認証情報仲介部１１１が、Ｗは取得ポリシー２０５に記述されたパスワードに使用可能な文字（英字、数字、及び記号）の使用要件を満たしていないことを確認すれば、処理はステップＳ８３０に戻る。そして、認証情報仲介部１１１は、Ｗとなった変数Ｓを用いて、再度ステップＳ８３０からステップＳ８６０の処理を行う。
　本例のＷは、Ｗ＝「hgvgqgzhfnkepscimtyluskvtfzoviuldvftxhxxiftwfikbhsgzvg」であり、これは取得ポリシー２０５の「５文字以上半角小文字英字」を満たすため、処理はステップＳ８８０へ進む。

　別の具体例を用いて、処理がステップＳ８３０に戻る例を詳細に説明する。
　取得ポリシー２０５が「８文字以上半角小文字英字及び半角数字（半角小文字英字と半角数字を少なくとも１文字以上含める）」であったとする。このような取得ポリシー２０５に記述されたパスワードに使用可能な文字（英字、数字、及び記号）の使用要件を満たすためには、少なくとも、１字の「半角小文字英字」と１字の「半角数字」とがＷに含まれていることが必須である。しかし、ステップＳ８５０で変換されたＷに、「半角小文字英字」又は「半角数字」のどちらかが１字も含まれていない場合が考えられる。このような場合には、ステップＳ８６０で、Ｗは取得ポリシー２０５に記述されたパスワードに使用可能な文字（英字、数字、及び記号）の使用要件を満たしていないことが確認される。そして、ステップＳ８７０で、処理がステップＳ８３０に戻る。そして、認証情報仲介部１１１は、Ｗとなった変数Ｓに２度目のハッシュ化を行う。そして、ステップＳ８４０及びステップＳ８５０を経て、Ｓは新たなＷへと変換される。そして、Ｗが取得ポリシー２０５に記述されたパスワードに使用可能な文字（英字、数字、及び記号）の使用要件を満たすまで、Ｓ８３０からＳ８６０の処理が繰り返される。

　次に、ステップＳ８８０では、認証情報仲介部１１１は、Ｗを変換パスワード２０７として記憶する。そして、変換パスワード２０７の生成の処理は完了する。

　図２４を用いて、本実施の形態に係るパスワード認証装置１０の認証の処理例について説明する。以下では、認証情報はパスワードのみであるとして詳細に説明する。
　図２４は、本実施の形態に係るパスワード認証装置１０の認証の処理例を示す。
　なお、実施の形態３と同一の動作には同一番号を付してその説明を省略する。
　図２４の、ステップＳ９００がポリシー取得部１１０、ステップＳ５１０及びステップＳ５２０が認証情報取得部１０１、ステップＳ９１０及びステップＳ９２０が認証情報仲介部１１１の処理に対応する。

　ステップＳ５００及びステップＳ５１０は、実施の形態３と同一の動作であるため、説明を省略する。

　ステップＳ５２０の後、ステップＳ９１０では、認証情報仲介部１１１は、認証情報記憶部１０７より、認証情報である入力パスワード２０１を読み込む。また、認証情報仲介部１１１は、取得ポリシー記憶部１１２より、取得ポリシー２０５を読み込む。
　そして、認証情報仲介部１１１は、入力パスワード２０１を取得ポリシー２０５に準拠するように変換し、変換パスワード２０７を生成する。
　変換は、図２３の変換パスワード２０７の生成で、登録パスワード２０２を入力パスワード２０１に置き換えた動作であるため、説明は省略する。

　次に、ステップＳ９２０では、認証情報仲介部１１１は、通信インタフェース１５を介して、変換パスワード２０７を用いて外部認証システム４０に、外部認証システム４０の認証に用いられる認証情報を入力する。そして、外部認証システム４０で、認証が行われる。そして、認証の処理が完了する。

＊＊＊実施の形態の効果の説明＊＊＊
　以上のように、本実施の形態によれば、パスワード認証装置は、認証情報登録時に、ユーザが入力した認証情報に含まれるパスワードを外部認証システムのパスワードポリシーに準拠するように変換する。そして、パスワード認証装置は、変換したパスワードを用いて、外部認証システムに認証情報を入力する。
　また、パスワード認証装置は、認証時に、ユーザが入力した認証情報に含まれるパスワードを外部認証システムのパスワードポリシーに準拠するように変換する。そして、パスワード認証装置は、変換したパスワードを用いて、外部認証システムに認証情報を入力する。
　よって、認証情報登録及び認証を行う外部認証システムが存在する場合にも、ユーザは外部認証システムのパスワードポリシーと同等以上の強度であるパスワードポリシーを選択し、ユーザ自身のパスワードの生成方針に沿ってパスワードを生成することが出来る。
　また、本実施の形態のパスワード認証装置によるパスワードの変換に用いる変換パターンを公開しても、ユーザが生成するパスワードは、外部認証システムのパスワードポリシーと同等以上の強度であるパスワードポリシーに準拠する安全なパスワードである。
　したがって、変換パターンを公開しても、パスワードポリシーに準拠し、且つユーザ自身のパスワードの生成方針に沿った安全なパスワード生成を可能とすることができる。

　以上、本開示の実施の形態について説明したが、これらの実施の形態のうち、２つ以上を組み合わせて実施しても構わない。
　あるいは、これらの実施の形態のうち、１つを部分的に実施しても構わない。
　あるいは、これらの実施の形態のうち、２つ以上を部分的に組み合わせて実施しても構わない。
　なお、本開示は、これらの実施の形態に限定されるものではなく、必要に応じて種々の変更が可能である。
＊＊＊ハードウェア構成の説明＊＊＊
　最後に、パスワード認証装置１０のハードウェア構成の補足説明を行う。
　図２に示すプロセッサ１１は、プロセッシングを行うＩＣ（Ｉｎｔｅｇｒａｔｅｄ　Ｃｉｒｃｕｉｔ）である。プロセッサ１１の具体例は、ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）、ＤＳＰ（Ｄｉｇｉｔａｌ　Ｓｉｇｎａｌ　Ｐｒｏｃｅｓｓｏｒ）等である。
　図２に示すメモリ１２は、データを一時的に記憶する記憶装置である。メモリ１２の具体例は、ＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）である。
　図２に示す補助記憶装置１３は、データを記憶する記憶装置である。補助記憶装置１３の具体例は、ハードディスクである。
　また、補助記憶装置１３は、ＳＳＤ（登録商標、Ｓｏｌｉｄ　Ｓｔａｔｅ　Ｄｒｉｖｅ）、ＳＤ（登録商標、Ｓｅｃｕｒｅ　Ｄｉｇｉｔａｌ）メモリカード、ＣＦ（登録商標、ＣｏｍｐａｃｔＦｌａｓｈ）、ＮＡＮＤフラッシュ、フレキシブルディスク、光ディスク、コンパクトディスク、ブルーレイ（登録商標）ディスク、ＤＶＤ（登録商標、Ｄｉｇｉｔａｌ　Ｖｅｒｓａｔｉｌｅ　Ｄｉｓｋ）といった可搬記録媒体であってもよい。
　図２に示す入出力インタフェース１４は、情報の入出力処理を実行する電子回路である。入出力インタフェース１４の具体例は、キーボード又はマウス等の入力装置から入力された情報を受信し、モニタ等の出力装置に情報を送信する電子回路である。
　図２に示す通信インタフェース１５は、信号線を介して接続先との情報の通信処理を実行する電子回路である。通信インタフェース１５の具体例は、Ｅｔｈｅｒｎｅｔ（登録商標）用の通信チップ又はＮＩＣ（Ｎｅｔｗｏｒｋ　Ｉｎｔｅｒｆａｃｅ　Ｃａｒｄ）である。
　また、補助記憶装置１３には、ＯＳ（Ｏｐｅｒａｔｉｎｇ　Ｓｙｓｔｅｍ）も記憶されている。そして、ＯＳの少なくとも一部がプロセッサ１１により実行される。
　プロセッサ１１は、ＯＳの少なくとも一部を実行しながら、ポリシー抽出部１００、認証情報取得部１０１、準拠性判定部１０２、認証情報登録部１０３、認証情報照合部１０４、ポリシー取得部１１０、及び認証情報仲介部１１１の機能を実現するプログラムを実行する。
　プロセッサ１１がＯＳを実行することで、タスク管理、メモリ管理、ファイル管理、通信制御等が行われる。
　また、ポリシー抽出部１００、認証情報取得部１０１、準拠性判定部１０２、認証情報登録部１０３、認証情報照合部１０４、ポリシー取得部１１０、及び認証情報仲介部１１１の処理の結果を示す情報、データ、信号値及び変数値の少なくともいずれかが、プロセッサ１１、メモリ１２、補助記憶装置１３内のレジスタ及びキャッシュメモリの少なくともいずれかに記憶される。
　また、ポリシー抽出部１００、認証情報取得部１０１、準拠性判定部１０２、認証情報登録部１０３、認証情報照合部１０４、ポリシー取得部１１０、及び認証情報仲介部１１１の機能を実現するプログラムは、ハードディスク、ＳＳＤ（登録商標）、ＳＤ（登録商標）メモリカード、ＣＦ（登録商標）、ＮＡＮＤフラッシュ、フレキシブルディスク、光ディスク、コンパクトディスク、ブルーレイ（登録商標）ディスク、ＤＶＤ（登録商標）といった可搬記録媒体に格納されていてもよい。
　そして、ポリシー抽出部１００、認証情報取得部１０１、準拠性判定部１０２、認証情報登録部１０３、認証情報照合部１０４、ポリシー取得部１１０、及び認証情報仲介部１１１の機能を実現するプログラムを流通させてもよい。
　また、ポリシー抽出部１００、認証情報取得部１０１、準拠性判定部１０２、認証情報登録部１０３、認証情報照合部１０４、ポリシー取得部１１０、及び認証情報仲介部１１１の「部」を、「回路」又は「工程」又は「手順」又は「処理」に読み替えてもよい。
　また、パスワード認証装置１０は、処理回路により実現されてもよい。処理回路は、例えば、ロジックＩＣ（Ｉｎｔｅｇｒａｔｅｄ　Ｃｉｒｃｕｉｔ）、ＧＡ（Ｇａｔｅ　Ａｒｒａｙ）、ＡＳＩＣ（Ａｐｐｌｉｃａｔｉｏｎ　Ｓｐｅｃｉｆｉｃ　Ｉｎｔｅｇｒａｔｅｄ　Ｃｉｒｃｕｉｔ）、ＦＰＧＡ（Ｆｉｅｌｄ－Ｐｒｏｇｒａｍｍａｂｌｅ　Ｇａｔｅ　Ａｒｒａｙ）である。
　なお、本明細書では、プロセッサと処理回路との上位概念を、「プロセッシングサーキットリー」という。
　つまり、プロセッサと処理回路とは、それぞれ「プロセッシングサーキットリー」の具体例である。

　１　パスワード認証システム、１０　パスワード認証装置、１１　プロセッサ、１２　メモリ、１３　補助記憶装置、１４　入出力インタフェース、１５　通信インタフェース、２０　端末装置、３０　ネットワーク、４０　外部認証システム、１００　ポリシー抽出部、１０１　認証情報取得部、１０２　準拠性判定部、１０３　認証情報登録部、１０４　認証情報照合部、１０５　ポリシー記憶部、１０６　抽出結果記憶部、１０７　認証情報記憶部、１０８　登録情報記憶部、１０９　抽出要件記憶部、１１０　ポリシー取得部、１１１　認証情報仲介部、１１２　取得ポリシー記憶部、２００　抽出ポリシー、２０１　入力パスワード、２０２　登録パスワード、２０３　要求強度、２０４　ユーザポリシー、２０５　取得ポリシー、２０６　組み合わせ総数、２０７　変換パスワード。

Claims

　ユーザの認証に用いるパスワードの認定要件を記述した複数のパスワードポリシーであり、パスワードが前記複数のパスワードポリシーのうち少なくともいずれか１つのパスワードポリシーに準拠していれば前記パスワードを正当なパスワードとして認定可能な複数のパスワードポリシーを記憶するポリシー記憶部と、
　前記ポリシー記憶部が記憶する前記複数のパスワードポリシーから１つ以上のパスワードポリシーを抽出するポリシー抽出部と、
　パスワードを含む認証情報を取得する認証情報取得部と、
　前記認証情報取得部が取得した前記認証情報に含まれるパスワードが、前記ポリシー抽出部が抽出した前記１つ以上のパスワードポリシーのうち、少なくともいずれか１つのパスワードポリシーに準拠しているか否かを判定する準拠性判定部と、
　前記準拠性判定部が前記少なくともいずれか１つのパスワードポリシーに準拠していると判定したときに、前記認証情報を登録情報として登録する認証情報登録部とを備えるパスワード認証装置。
　前記ポリシー記憶部は、パスワードに使用可能な英字、数字、及び記号の３種のうち少なくとも１種の使用要件を記述したパスワードポリシーを記憶する請求項１に記載のパスワード認証装置。
　前記パスワード認証装置は、更に、
　前記複数のパスワードポリシーからパスワードポリシーを抽出する抽出要件を記憶する抽出要件記憶部を備え、
　前記ポリシー抽出部は、前記抽出要件記憶部が記憶する前記抽出要件に基づき、前記複数のパスワードポリシーから前記１つ以上のパスワードポリシーを抽出する請求項１又は請求項２に記載のパスワード認証装置。
　前記抽出要件記憶部は、
　前記抽出要件として、前記１つ以上のパスワードポリシーの抽出に用いられる基準を示す要求強度を記憶し、
　前記ポリシー抽出部は、前記複数のパスワードポリシーの各々のパスワードポリシーにより定まるパスワードの文字の組み合わせの総数を示すパスワード総数を計算し、前記各々のパスワードポリシーのパスワード総数と前記要求強度とを用いて、前記複数のパスワードポリシーから前記１つ以上のパスワードポリシーを抽出する請求項３に記載のパスワード認証装置。
　前記パスワード認証装置は、更に、
　前記認証情報登録部が登録した前記登録情報を用いてユーザの認証を行う認証情報照合部を備える請求項１から請求項４のいずれか１つに記載のパスワード認証装置。
　前記パスワード認証装置は、更に、
　ポリシー取得部と、認証情報仲介部とを備え、
　前記ポリシー取得部は、前記パスワード認証装置の外部でユーザの認証を行う外部認証システムがユーザの認証に用いるパスワードポリシーを取得ポリシーとして取得し、前記取得ポリシーにより定まるパスワードの文字の組み合わせの総数を示す取得ポリシーのパスワード総数を計算し、前記取得ポリシーのパスワード総数を前記要求強度として前記抽出要件記憶部に記憶し、
　前記認証情報仲介部は、前記登録情報に含まれるパスワードを前記取得ポリシーに準拠する変換パスワードへと変換する請求項４に記載のパスワード認証装置。
　前記認証情報仲介部は、
　前記登録情報及び前記変換パスワードを用いて、前記外部認証システムに、前記外部認証システムの認証に用いられる認証情報を登録する請求項６に記載のパスワード認証装置。
　前記認証情報仲介部は、
　前記登録情報及び前記変換パスワードを用いて、前記外部認証システムの認証を行う請求項６又は請求項７に記載のパスワード認証装置。
　前記認証情報取得部は、
　前記ポリシー抽出部が抽出した前記１つ以上のパスワードポリシーを認証情報の入力画面に表示し、表示された前記１つ以上のパスワードポリシーのうち、選択されたパスワードポリシーを、ユーザポリシーとして取得し、
　前記準拠性判定部は、
　前記認証情報取得部が取得した前記認証情報に含まれるパスワードが、前記ユーザポリシーに準拠しているか否かを判定し、
　認証情報登録部は、
　前記準拠性判定部が前記認証情報に含まれるパスワードは前記ユーザポリシーに準拠していると判定したときに、前記認証情報及び前記ユーザポリシーを前記登録情報として登録する請求項１から請求項８のいずれか１つに記載のパスワード認証装置。
　ユーザの認証に用いるパスワードの認定要件を記述した複数のパスワードポリシーであり、パスワードが前記複数のパスワードポリシーのうち少なくともいずれか１つのパスワードポリシーに準拠していれば前記パスワードを正当なパスワードとして認定可能な複数のパスワードポリシーを記憶し、
　前記複数のパスワードポリシーから１つ以上のパスワードポリシーを抽出し、
　パスワードを含む認証情報を取得し、
　前記認証情報に含まれるパスワードが、前記１つ以上のパスワードポリシーのうち、少なくともいずれか１つのパスワードポリシーに準拠しているか否かを判定し、
　前記少なくともいずれか１つのパスワードポリシーに準拠していると判定したときに、前記認証情報を登録情報として登録するパスワード認証方法。
　ユーザの認証に用いるパスワードの認定要件を記述した複数のパスワードポリシーであり、パスワードが前記複数のパスワードポリシーのうち少なくともいずれか１つのパスワードポリシーに準拠していれば前記パスワードを正当なパスワードとして認定可能な複数のパスワードポリシーを記憶するポリシー記憶処理と、
　前記ポリシー記憶処理により記憶された前記複数のパスワードポリシーから１つ以上のパスワードポリシーを抽出するポリシー抽出処理と、
　パスワードを含む認証情報を取得する認証情報取得処理と、
　前記認証情報取得処理により取得された前記認証情報に含まれるパスワードが、前記ポリシー抽出処理により抽出された前記１つ以上のパスワードポリシーのうち、少なくともいずれか１つのパスワードポリシーに準拠しているか否かを判定する準拠性判定処理と、
　前記準拠性判定処理により前記少なくともいずれか１つのパスワードポリシーに準拠していると判定したときに、前記認証情報を登録情報として登録する認証情報登録処理とをコンピュータに実行させるパスワード認証プログラム。