パスワードの定期的な変更を強制してはならない。
前々から、定期的なパスワードの変更を行わせるルールはどうかと思っていた。そんなある日、そんなルールの大元を提唱した研究者が「結果的に間違いだった」と語ったという内容をSNSで知った。
最近、このルールの問題点について書かれたものがいろいろ出ているので細かくは書かないが、定期的なパスワードの変更を強制することは、結果として、単純で推測しやすいパスワードの設定やパスワードの使いまわしに繋がる、ということで、そのようなルールや運用は行うべきではない、というものであった。
これは、当