恣意的なタイミングでのパスワード変更を求めるべきではないし、変な生成ルールを課すべきでもないらしい

パスワード強度について本気出して考えてみようとしたけどやめた - めらんこーど地階という日記をはるか昔に書いたわけだけど、ここ最近になって、アメリカの政府機関が認証に関するガイドラインのドラフトを発行したという話を聞いて少し読んでみた。

DRAFT NIST Special Publication 800-63B Digital Authentication Guideline

パスワードに関係するのは「5.1.1. Memorized Secrets」の部分。
パスワードの恣意的なタイミングでの変更を求めるな (SHOULD NOT) とか、ときたま日本で必要だ、いや必要じゃないと紛糾している条件や、複数の文字種でパスワードを構成することを強制するな (SHOULD NOT) という画期的な条件があるけど、色々な人がいうに、パスワードの定期変更とか、そもそも憶えられないとかで、結局のところ分かりやすいパスワードを作ってしまう嫌いがあるから、だとか。
割られていることがハッキリしていない限りパスワードの付け替えを強制しないとか、割られやすいパスワードとか、サービス名を含んでいるとか、そう言うアホらしいのを弾くくらいにしておこうというのは、昨今のサービス氾濫時代からすれば、人間そんなに憶えらんないし、妥当なんでしょう。
ていうか、パスワード管理ソフトウェアとかサービスを使おう。