自由研究の季節 夏です。今年もまた自由研究の季節がやってきました。何年か前にパスワード定期変更云々という夏休みの自由研究をやりました。このエントリは総当たりに対する防御の視点で書かれたものです。 今回は「総当たり対策」以外の視点でパスワードの定期的変更の効果を検証します。 このまとめは気が向いたらテキトーに項目を追加&編集していきます。まだまだ完成版ではありません。 大前提 ・ユーザーが自主的に定期的変更するのもいいが、パスワードに関してはまず設定可能文字数を大きくする・使用可能文字種を増やすのが最初の一歩です。 ・サイト側がユーザーに定期的変更を強制すると、ユーザーは結果的に強度の弱いパスワードを使いがちなので強制は良くない。*1 ・サイト側での保存方法には必ずハッシュ化+ソルト+ストレッチングを設け、秘密の質問の様なゴミは使わない事。 ・変更タイミングの基本は とします。その上で例外的