元文書はこれ:DRAFT NIST Special Publication 800-63B(NIST)
- 「定期的な変更」云々はさて置き基本は安易なパスワードを使うなつうハナシ.
それ以前に使い回しが問題とされてるが,多くのサービスでユーザー名(ID)をメールアドレスとしている風習がそもそも間違いで本来別個とすべきだろうに.とりあえず疑い深いオレは昔から登録時にパスワードの使い回しは一切しね. - 「秘密の質問」を使用するべきではないというが,実際には秘密になってねのが問題と思われ.
ペットの名前とか好きなホニャララ等の設問が安易な上に,それに真っ正直に応じて設定してたら確かに殆ど意味が無い.虚偽や有り得ね答えを設定すれば今のところ有効.
好きな色は? ー> 0
ペットの名前は? ー>人工甘味料
とか設定できねシステムは駄目.が,Deep Learning 進化しちゃうと対応されちゃうかもだが.