色々ありえいえいって調べた。

とりあえず頻繁に挙がるのは「SP 800-63 Digital Identity Guidelines」か。このうち「SP 800-63B Authentication and Lifecycle Management」の 5.1.1.2 Memorized Secret Verifiers に次の記述がある。

Verifiers SHOULD NOT require memorized secrets to be changed arbitrarily (e.g., periodically). However, verifiers SHALL force a change if there is evidence of compromise of the authenticator.

日本語訳はOIDF-J・JIPDEC共催OpenID BizDay#11「NIST SP 800-63-3を読む」のサイトにある。そこでは Verifierは，記憶シークレットを任意で(例えば，定期的に)変更するよう要求すべきではない(SHOULD NOT)．しかしながらAuthenticatorが危殆化した証拠がある場合は，変更を強制するものとする(SHALL)． と訳されている。

ただし、パスワードの定期的な変更は「SHOULD NOT」であり「SHALL NOT」ではない。

これについて何か所かで理由が挙げられているが「この施策を取った場合パスワードは単調なものになりがちだから」ないし「パスワードの変更内容がわずかだから」らしい。パスワードが単調であれば容易に突破できる。また、定期的にパスワードを変更することでパスワードが漏洩していたとしてもその影響を押させることができるが、パスワードが漏洩していたうえでパスワードの変更内容がわずかであれば以前のパスワードから新しいパスワードが推測できるため攻撃者は突破が可能である。

パスワードの定期的な変更が有効なのは以下のような場合である。

• 顧客との契約をはじめとする特定のルールの要求で定期的な変更が必要とされる場合
• 単一のアカウントを複数人で共有しており、共有しているメンバーが高頻度で変わる場合
  (既にいないメンバーが知らないパスワードに変える必要がある)
• パスワードが高い頻度で漏洩することが分かっている場合

特に最初の項目については契約先とのパワーバランスによっては変更が困難であり、定期的な変更を続けざるを得ないことはしばしばあるだろう。

こういう「ただダメというだけでは多分減らない」「減らしにくい事情がある」事例は割と他にもある。「パスワード付き zip で圧縮したファイルを送り、パスワードを別送」とかは代表例の一つか。