パスワードの定期的な変更が意味を持つ例

　
　まず，パスワードの定期的な変更が効果を持つ例を挙げてみよう。
・認証画面に頻繁にアクセスでき，かつ，認証している様子を見ることができる場合
　これは簡単なケースだ。会社や学校でPCを利用する場面を想定すればいい。キー入力はほとんどの場合隣の席から見ることができるし，日常的にログイン操作をしている様子を見ることができる。離席時にちょこっと触ることも可能だ。
　なにより，これらのケースでは（組織外部に情報漏えいが発生しない限り）アカウントが第三者に利用されている事実に気づきにくい。
　この場合，アカウントが長期にわたって利用される可能性を制限するためにパスワードの寿命を短くして定期的に変更させる意味がある。
　とはいえ，十分に複雑で強いパスワードを使っていたり，社員賞や学生証をICカード化してカード認証をしているなら，パスワードの定期的な変更は必要ない。つまりは定期的変更をしなくて済む方法がとれない場合の代替策であって，これを推奨する理由はない。
・サービス提供者が信頼できないとき
　たとえば，サービス提供者のセキュリティレベルが低い場合。これはアカウント情報を含む情報が頻繁に漏えいすることが予測できる場合で，かつ，そのサービスを利用しなければならない事情がある場合に，パスワードが解析されても被害を受ける期間を最小限に抑えるための自衛策としてパスワードを定期的に変更することが意味を持つ。あるいは，そのサービスのログイン処理について，設定できるパスワードが弱くロックアウトも実装されていないなど，認証機能そのものに問題がある場合で，かつ，そのサービスを利用しなければならない事情がある場合に，パスワードが推測されても被害を受ける期間を最小限に抑えるための自衛策としてパスワードを定期的に変更することが意味を持つ。
　ただしリスクを軽減したとしても限定的な軽減であるため，他のサービスを探して代替することができない場合の苦肉の策でしかなく，これを推奨する理由はない。
・複数のサービスでアカウントを使いまわしている場合
　利用しているサービスのいずれかでアカウント情報が漏えいした場合に，他のサービスに累が及んでも被害を受ける期間を制限できる。運がよければ，仮にパスワードが解析されたとしても他のサービスにたどり着かれる前にパスワードが変更されることによって，不正なログインを防止できる可能性がある。
　ただしサービスごとに別のパスワードを使っていればそもそもリスト攻撃にあうことはないため，定期的なパスワードの変更を推奨する理由はない。
　

考察

　
　いずれにしろ設定できるパスワードの強度をもとに解析される可能性が充分に小さいうちに変更できる期間を設定しなければならない。
　去年の年末に考証した通り*1，信頼できないサービスなら毎日変更してもリスキーであるといえる。半年以上経っているので状況はより厳しくなっていると思う。
　そもそもパスワードを10桁11桁と設定できて文字種に制限がないように考慮しているサービスで情報漏えいがそうそう頻繁に起きると疑うのは現実的ではないので，そういった意味も含めて信頼できないサービスを使うときは出勤前あるいは登校前にパスワードを変更し，昼休みにパスワードを変更し，退社下校前にパスワードを変更し，夕食前にパスワードを変更し，寝る前にパスワードを変更するくらいの勢いでないとログインされかねないといえる。
　つまり，パスワードの定期的変更が第三者にログインされることを防ぐという意味は無いと言ってもよく，その意味は「不正アクセスされたときにアカウントが利用される期間を制限する」という意味しかないと言える。
　この点をパスワード定期変更論者は明言しない。パスワードを定期的に変更しても不正に利用される可能性は防げず，ログイン後に見られる情報が定期的に変更される性質のものではないため一度閲覧されれば（コピーを取られれば）アカウントにログインされることを一定期間後に防止できるようになったとしてもほとんどのケースで意味が無い。
　パスワードを定期的に変更して被害の継続を意味のある範囲で抑えられるケースは，せいぜいメールアカウントかSNSやblogといったサービス，オンラインストレージだ。そのいずれにしても，過去の記録を持ち出されることは防げないし，なりすまし発言や悪意のプログラム等の配布用に転用された場合にかなり困る。
　何らかのサーバ等，プログラムを設置できる場合にはバックドアをおかれる可能性が高く，そうでない場合であってもパスワードを変更されるケースがあるだろう。メールサービスでも転送を設定された場合に気づきにくいため，パスワードの変更間隔を超える長期にわたって情報を閲覧される可能性がある。

　つまりほとんどのケースで，パスワードを定期的に変更したところで被害は防げない*2し，軽減できるケースも極めて限られる。
　このようなレアケースを持ち出して「パスワードの定期的な変更に意味がある」かのように吹聴するのは，最早意図しない害悪である範囲を超えた，意図的な悪意と言ってもよいだろう。いずれのケースにしても，充分な強度のパスワードを受け入れることで不正なログインをそもそも防ぐことができるからだ。より効果的な方法があり，そちらを推奨することでカバーできる範囲のものをことさら意味があるように喧伝することは，より広範囲にカバーできる対策がなくてもなんとかなるのではないかという誤解を生み，ひいてはセキュリティ対策の遅れの原因となりうる。パスワードの定期的な変更を呼びかけていれば，弱いパスワードしか受け入れないサービスであっても許されるかのような誤解は未だに残っている。
　

結論

　
　パスワードの定期的変更が意味を持つのは，アタックが極めて容易な環境にあるか，サービス提供者が信頼できないか，アカウントを複数サービスで使いまわしている場合であり，かつ，その場合でも効果は限定的であるうえ，より効果的で効果の大きい対策が存在している。
　ほとんどのケースで意味を持たず，強度の高いパスワードを利用すればそもそも期間を限しなければならない被害の発生を防止できることから，パスワードの定期的変更を推奨する意味はない。
　
　つまり，パスワードの定期的な変更を一般に求めることはほとんどのケースで意味が無く，害のほうが大きく，よりよい解決策があるので優先的にそちらを推奨するべきである。
　そのため，どうしてもパスワードの定期的な変更を推奨しなければならない場合には，それがレアケースであることを明確に示すために「推奨しなければならない環境」の提示が必要である。「サービス提供者が信頼できない場合はパスワードを定期的に変更しましょう」「設定できるパスワードが弱いものでしかない場合は，定期的に変更しましょう」等と言う必要がある。
　同時に，その変更頻度は不正なログインを防止するだけの頻度が現実的ではない以上「不正アクセスされてメールや個人に関する情報が覗かれ続けても我慢できる期間以内に変更しましょう」と言わなければならない。
　これらに触れず，単にパスワードの定期的変更に意味があるかのように言うだけであれば，それは最早悪意に基づく発言であると言ってもよい。
　

私見

　
　例外のケースを例外であるとして扱わず一般化することでもたらされる害を撒き散らして平気な顔をしている自称専門家には猛省を求めたいところである。