セキュリティーって言うのは,昨日の情報じゃもう古いんですよ.ゼロデイ攻撃があるように,最新の情報でも間に合わないことさえあるんです.
それを,もう何年も前から専門家が「パスワードの定期的変更は不要というより危険」と警告し,総務省からも,2年も前に,同様の指針が示されたのにもかかわらず,依然としてログインすると,「パスワードの有効期限が切れています.速やかに変更してください」と表示する,セキュリティー意識ゼロどころかマイナスの組織が運営するサイトがなんと多いことか.
だいたい8文字英数のみで,他サイトと使い回されず類推されにくいパスワードを3か月に1度ずつ考えつくわけないでしょう.出来るもんなら自分でやって示しなさい.
英数+記号+スペース(これがだいじ)OKで,最低でも16文字以上にしてもらいたいものです.存在する英単語は良くないとされていますが,許容文字数が十分ある場合,単語とスペースを使うと,覚えやすく破られにくいパスワードが作りやすいようです.
責任はみんなユーザーに押し付けて,文字数制限や文字種制限を拡張しないサイト運営側に本来的な責任があるんです.