パスワード定期変更の無駄

普段あまり自説をWEB上で論じないようにしているのですが、これだけは声を大にして言いたいと常々思っていました。
世の中的にはこれを行う事でセキュリティ性が上がると考えられているようですが、それは「気がする」だけであってその効果は非常に限定的だといえます。

パスワードを自宅の鍵に置き換えて考えて見ましょう。「鍵は無くしたり盗まれたりするかも知れないので定期的に交換しましょう」と言われたらどう思いますか？無くしてもいないのに鍵を交換するなんて無駄だと感じるのでは無いでしょうか？　そして鍵を定期的に変えてもピッキングの被害は防ぎようがありません。鍵を変える判断は鍵を実際に無くした時になる筈です。

こう考えるとパスワードを変えてもパスワード漏洩の対策にはなりにくい事が分かるかと思います。しかも家の鍵と違ってパスワードが漏洩する場合、パスワードのみ漏洩する可能性よりはＩＤやどの何のサービスを利用していたか等付随する情報とセットで漏洩する方が高いのでは無いでしょうか？

一度漏洩した情報は速やかに利用され、定期的な変更の周期がよほど短くない限り漏洩から使用までの（恐らくは）短い間に間に合うという可能性は期待できないと言えます。この意味では被害防止の観点では無力です。
それよりはやはりパスワードの使いまわしをしない事、他の人とかぶる可能性の低い十分に長いパスワードを設定する事、パスワードだけでなくIDも類推しにくいものを使用する事、異変があった時にすぐ知りうる体制を整える事（ログインする毎にメールで通知される等）が大事なのではないかと思います