パスワードの定期変更
『パスワードを定期的に変更させるシステム仕様には問題がある』(GIGAZINE),パスワードポリシーの多くはユーザーに対してパスワードを定期的に変更することを強制していますが、実際のところユーザーは新しいパスワードを忘れないように、以前のパスワードや他のサービスで使っているパスワードと似通ったものを使用しがちです。悪意を持った攻撃者がこういったユーザーの特性を悪用し、アカウントに不正にアクセスする可能性があります。 (snip) 何度もパスワードを変更すると、新しいパスワードを忘れないようにするため、覚えやすい文字列を設定しがちで、パスワードの強度がどんどん弱くなっていくというわけです。