パスワード強度は、推測攻撃やブルートフォース攻撃などに対するパスワードの耐性を示す基準であり、以下のようなさまざまな要因に依存します。

• パスワードの長さ。
• パスワードに大文字と小文字の両方が含まれているかどうか。
• パスワードに含まれる文字種の数（数字、特殊文字など）。
• パスワードに辞書の言葉が 1 語以上含まれているかどうか。

ユーザが（覚えやすいなどの理由から）脆弱なパスワードを設定すると、サーバを不用意に攻撃に対して脆弱にしてしまう可能性があります。たとえば、次のような状況があります。

• メールボックスのパスワードが侵害されると、攻撃者がこのメールボックスを利用してスパムを送信できるようになり、結果としてサーバの IP アドレスが DNS ブラックホールリストに追加されてしまう可能性があります。
• システムユーザのパスワードが侵害されると、攻撃者が顧客のウェブサイトに悪質なコードを挿入できるようになります。

これらはすべて、財務上の損害や評判の毀損のほか、データの損失にもつながりかねません。

ユーザが脆弱なパスワードを設定するのを防ぐためには、サーバ全体のパスワード強度ポリシーを構成できます。このポリシーは、Plesk でユーザが設定できる多くの（すべてではない）パスワードに適用されます。Plesk ユーザがパスワードを設定したり変更したりするたびに、その時点で有効なパスワード強度ポリシーの要件を満たすようにパスワードを調整することが求められます。

パスワード強度のレベルは「最弱」から「最強」までの 5 段階から選べます。ポリシーが厳格になればなるほど、ユーザのパスワードのブルートフォース攻撃に対する脆弱性が低くなります。

Plesk が強力なパスワードを生成したり、パスワードの強度を評価したりする仕組みは、一般的なサードパーティ製パスワード生成ツールと非常に似ています。これにより、1Password などによって生成された強力なパスワードが Plesk でも強力なパスワードとして扱われるようになります。 Plesk によるパスワード強度の計算方法はこちらをご覧ください。

デフォルトで、パスワード強度ポリシーは「強」に設定されています。サードパーティ製のパスワード生成ツールを使用しており、そのパスワードが Plesk で十分に強力ではないと評価されてしまう場合などは、これより低いポリシーを適用できます。

パスワード強度ポリシーは、以下のパスワードに適用されます。

• Plesk へのログインに使用するパスワード
• 契約のシステムユーザのパスワード
• データベースユーザのパスワード
• メールボックスのパスワード

パスワード強度ポリシーは、以下のパスワードには適用されません。

• Plesk でホストするアプリケーションのパスワード（WordPress、Joomla! など）
• Plesk で管理するサービスのパスワード（Git、Docker）
• バックアップの暗号化用パスワード
• リモートバックアップストレージのパスワード

パスワード強度ポリシーを変更するには：

1. ［ツールと設定］ > ［セキュリティポリシー］（［セキュリティ］の下）に進み、［パスワード強度］セクションにスクロールします。
2. ［パスワードの最低限の強度］の下で、必要なパスワード強度ポリシーのラジオボタンをオンにします。
3. ［OK］をクリックします。

新しいパスワードポリシーが有効になり、ポリシーの適用対象であるパスワードが設定または変更されるたびに適用されるようになります。