こんばんは。先日、パスワード定期変更関連で武田先生からTwitter上でリプいただいた話を書きました。「知らない間にパスワードが漏れてしまった場合の対策として定期変更が有効だ」というコメントをいただきました。そこで、「知らない間に漏れてしまってからの時間を最小限に抑えるための究極の形がワンタイムパスワードですかね？」と返したら、「違います」と言われました。(^^;;

　ここでは、ユーザが簡単に推測される（たとえば4桁の）短い文字列を設定している事例があることを取り上げて、「まずは短いベタなパスワードを止めて、複雑な長めの文字列にしましょう。」というネタを書きました。短いベタなパスワードでは、定期変更しようがしまいが論外であるというお話でして。（定期変更した場合でも、変更したパスワードが短いベタなパスワードであるものとします。）

　そこに武田先生の引用リツイートで「『10桁の番号で開く鍵を頻繁に交換するのと、10桁合わないと開かない鍵を長期間利用するのとではどっちが安全だと思う？』というのをここで問うべき」とあったのですが、現状が3桁の番号で開く鍵を使っている状態だという前提があります。その状況下では「まずは鍵の10桁化なんじゃないか？」という話だと思うんですね。これで鍵が10桁化されたとしたら、その場合に「10桁の番号で開く鍵を頻繁に交換するのと、10桁合わないと開かない鍵を長期間利用するのとではどっちが安全だと思う？」と問いかけるのはまだ分かるんですよね。

　なので、結果論ですが蒟蒻問答だったんですよね。こちらが話しているのはもう一段手前の話でして。(^^;;

　「soup」とか「cafe」とかいうような文字列を設定されていたとしたら、もうそれはパスワードと呼べる代物ではありませんよね。そういうことなんですね。(^^;;