Zendeskのパスワードには以下のセキュリティレベルがあります。

低：5文字以上の長さのパスワードが必要。これはデフォルトのセキュリティレベルです。

中：6文字以上の長さのパスワードが必要。また、以下の要件を満たす必要があります。

• 数字、大文字、小文字のすべてを含む。
• アルファベットや数字以外の特殊文字（#、@、!など）を含む。

高：6文字以上の長さのパスワードが必要。また、以下の要件を満たす必要があります。

• 数字、大文字、小文字のすべてを含む。
• アルファベットや数字以外の特殊文字（#、@、!など）を含む。
• パスワードの有効期間は90日間です。パスワード更新の際には過去5件のパスワードと同じものは指定できません。

カスタム：「カスタム」を選択し、「編集」をクリックしてカスタムパスワード要件を設定します。各パスワードは、管理者が設定した要件を満たす必要があります。このセキュリティレベルは、エージェントと管理者のみが利用できます。以下はその例です。

ほとんどのオプションは名前のとおりです。以下に、それ以外の説明の必要なオプションについて解説します。

• 再利用を禁止する以前のパスワードの数：新しいパスワードに、過去のパスワードを流用できないようにします。いくつ前のパスワードまで禁止にするか、個数を指定します。
• ロックアウトまでの試行回数：エンドユーザーまたはエージェントは、パスワードの入力を指定した回数連続して間違えるとロックアウトされ、一定期間ロックアウトの状態になります。ロックアウト期間が終了するまで、再びサインインすることはできません。
• 連続した文字または数字の最大数：パスワード内に、abc順に並んだアルファベットまたは連番の数字を何文字まで許可するかを指定します。たとえば、最大数を4に設定した場合、admin12345のように数字の連番が5つ並んでいるパスワードは拒否されます。オプションを5に設定すれば、このパスワードは受け付けられます。
• パスワードはメールアドレスに似たものを指定できます：新しいパスワードにメールアドレスの一部を含めることができるかどうかを指定します。たとえば、この設定が「いいえ」の場合、david@mycompany.comのメールアドレスを持つユーザーは、パスワードの一部として「david」という単語を含めることはできません。

Zendeskでは、パスワードを128文字までに制限しています。パスワードの長さを制限しているのは、「長いパスワードによるサービス拒否」と呼ばれるDoS攻撃を防ぐための信頼性のセキュリティ対策です。 Zendeskのセキュリティ対策について詳しくは、当社のセキュリティWebサイトにアクセスしてください。

パスワードのセキュリティレベルを変更するには、管理者である必要があります。セキュリティレベルを上げると、セキュリティレベルに関係なく、すべてのパスワードの期限がその5日後に切れます。すべてのエンドユーザーとチームメンバーは、変更後のセキュリティレベルに適合するパスワードを指定し直す必要があります。

パスワードのセキュリティレベルを上げると、一部のパスワードが即座に期限切れになることがあります。90日以上前のパスワードで、「高」のセキュリティレベル（または期限切れ制限のあるカスタムレベル）が設定されていたパスワードは、有効期限切れとして扱われます。

管理者とエージェントには、パスワードの有効期限の3日前と有効期限当日にメール通知が送られます。

パスワードのセキュリティレベルを変更するには

1. チームメンバーまたはエンドユーザーのパスワードのセキュリティ設定を開きます。
   • 管理センターで、サイドバーの「 アカウント」をクリックし、「セキュリティ」>「チームメンバーの認証」を選択します。
   • 管理センターで、サイドバーの「 アカウント」をクリックし、「セキュリティ」>「エンドユーザー認証」を選択します。

     エンドユーザーのコマンドは、ヘルプセンターをアクティブにしないと使用できません。詳しくは「初めてのGuideの使い方」を参照してください。

2. 「パスワードの強度」を選択し、「保存」をクリックします。

   エンドユーザー向けと、チームメンバー向けに、それぞれ別のパスワードセキュリティレベルを設定できます。

アカウントオーナーは、管理者がユーザーのパスワードを設定できるよう許可することができます。ただし、セキュリティ上の理由で、このオプションは無効にしておくことをお勧めします。ハッカーがソーシャルエンジニアリングテクニックを駆使して善意の人々を騙し、機密情報を入手するのを防ぐためです。たとえば、ハッカーの手口の1つに、パスワードを忘れて復元できなくなってイライラしているカスタマーを装って、サポートセンターに繰り返し電話を掛けたり、身元を偽装したメールを何通も送りつけるやり方があります。エージェントは、激怒したカスタマーによって、パスワードを手動で変更せざるを得なくなるまで追い詰められます。パスワードが変更されてしまうと、ハッカーが機密情報にアクセスできるようになります。

ユーザーのパスワードをAPI経由で設定することもできます。開発者向けドキュメントの「Set a User's Password」を参照してください。

ユーザーのパスワードを管理者が設定できるようにするには

1. 管理センターで、サイドバーの「アカウント」をクリックし、「セキュリティ」>「詳細」を選択します。
2. 「パスワード」タブで、「管理者にパスワードの設定を許可」を選択します。

   この設定は、アカウントオーナーにのみ表示されます。

3. 「保存」をクリックします。

   管理者がユーザーのパスワードを設定すると、そのこと知らせるメールがユーザーに届きます。

Zendeskの設定で、非アクティブな状態が一定期間続くと強制的にエージェントおよび他のチームメンバーをサインアウトさせることができます。エージェントは製品をアクティブに使用している間はサインインしている状態です。入力操作およびリンクのクリック操作を行なうと、アクティブな使用と見なされます。

Zendesk SupportのWebポータルに記事を投稿し、エージェントとユーザーにパスワードのベストプラクティスについて注意を促すのも1つの方法です。一般的な推奨事項は以下のとおりです。

• 同じパスワードを複数のアカウントで使い回さない
• パスワードは他人に教えない
• パスワードをメモしない
• 電話、メール、インスタントメッセージなどでパスワードをやりとりしない
• コンピュータから離れるときはログオフする
• パスワードが侵害された疑いが少しでもあれば、すぐにパスワードを変更する

プライベート情報のセキュリティ保護について詳しくは、「一般的なセキュリティのベストプラクティス」を参照してください。