よく、パスワードを変更を促す文言があらゆるWebシステム等で見られます。
今人的には頑強なパスワードをあらかじめ3つ程度作成し、それらをシステムごとに使い分ける方が良いと思っています。
なので、システム側がパスワード変更を促すのは、どこかしっくりきません。
#変える場合
メリット
- 総当たり攻撃に有効(?)
- パスワードが漏洩していた場合に有効
デメリット
- パスワードが覚えられずスマホ・紙等に記録する
- パスワードを覚えやすくするため、脆弱なパスワードとなる
#変えない場合
メリット
- 数個のパスワードを暗記すれば、記録する必要がない
- パスワード変更の手間が省ける
デメリット
- パスワードが漏洩している場合壊滅的
- 変えないことによる不安感
システム側では、パスワードをそのままDBに保存しているわけではないですし(暗号化)、頑強なパスワードなら、変更しなくてもなんら問題ないと思います。フィッシング系に掛かると終わってしまいますが。
欲をいえば、パスワードはシステムごとに異なるものにしたいですが、そんなに何個も記憶できないと思うので。
みなさんの意見を伺いたいです。
また、パスワード管理アプリなどありますが、これを使ってシステムごとに用意するという方法もあるかと思います。スマホを落として、パスワード管理アプリのパスワードが破られれば終わりですが、しっかりとしたパスワードに設定しておけば問題ないかと思います。
システムを作る側・使う側の両方の質問になりますが、宜しくお願いします。
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。