パスワードの定期変更が無意味なら過去使用したパスワードの再利用不許可も無意味だよね?

ちょっと思ったんだけどね。

ネットで、

「パスワードの定期変更をしましょう」だってー!
m9(^Д^ )プギャー! そんな制限、意味ないのに!
パスワードを定期変更していいのは小学生までだよねー!
ハハハハ!

というイキフンが形成されつつあるというか、されきっているけれども。

これの理屈って、

過去に使用したパスワードの(ハッシュの)履歴を取っておき、
一致するものへのパスワード変更を禁止する のは無意味

とほぼ等価だよね?

いや、個人的にはどちらでもいいんだけれども(だってしょせん人間が打ち込めるような文字のパスワード認証使ってる時点でみんな危ないもん)。

このルールが設定されている環境だと、利用者の混乱が激しくてたいへんなんだよね。

  • 新しいのなににしよう
  • あれ? おれ、なにに変えたんだっけ?
  • えーと、あれはこのあいだ使ったんだっけ?

とかなる。というわけで、こちらとしては、

ふだんから使ってる強そうな8文字のパスワードに、
パスワード変更年月を yyyymm 形式で追加して使うといいよ

とかアドバイスするわけだ。

…本末転倒だね。うん。逆にソーシャルハックしやすくなってるね。

ということで、みなさん、定期変更だけじゃなくて「過去履歴にさかのぼってのパスワード再利用禁止も無意味」って広めてほしいなぁ、と願う次第なのです。

まあ、エンタープライズ環境だとだいたいこの設定はデフォルトになってるか、かんたんにできるようになってて。Windows Server(Active Directory)はもちろんだし、別にマイクロソフトじゃなくても市場のニーズにこたえるべくLDAPサーバー各種も対応してる。いちいちセットアップのたびにオフにしなきゃならない…。

あ、ちなみに「うちはLinuxだからだいじょうぶだよーん」なんて思ってると、/etc/pam.d/system-auth

なんて書いてあったりするんだよ。気をつけましょう。