よく聞く「パスワードの定期的な変更」のルール、
どこから来たのか?どうするのがいいのか?
パスワードの定期的な変更が推奨されるのは、
3回間違えたらアウト!のような、
ログイン失敗回数制限ができないシステムの場合です。
パスワードの定期的な変更で、
時間さえあれば100%の確率でパスワードが破られるという危険を
回避することができます。
……といいたいところだけど、何か引っかかる方は敏感だと思います。
結構突っ込みどころはあります。
「パスワードの定期的な変更」は、
こういう理屈とは別次元の理由から言われていると考えています。
(あまり強い根拠は見当たらず、気休めという説明が一番納得できます)
理屈では、手入力できる程度のパスワードは
総当り攻撃を受ける環境にある時点で負けです。
正しい対策は、総当り攻撃をできないようにすることです。
(それが前述のログイン失敗回数制限などのこと)
だから、
Yahoo!は怪しいログインに対してIP制限をかけたり、
Googleは数回間違えるとCAPTCHA(あの読みにくい文字)を入力させたりする。
Linuxにも攻撃しにくくさせる機能があります。
Windowsにもそういう機能があるといいですね。
自分が開発するシステムなどでも、
次のような機能を考えておくとよいと思います。
・ 所定の回数間違えたら所定の時間ロック
・ CAPTCHA機能
→ システム的に攻撃を避ける機能
・ ログイン履歴、不正ログイン履歴
・ 不正ログインを管理者に報告
→ 報告をすれば短時間で管理者が対策を取れる機能