企業が従業員にパソコンのパスワードを頻繁に変更するよう義務づけると、かえって安全性が低下することが米国で消費者法制を担う米連邦取引委員会(FTC)と米大学などの調査で分かった。推測可能なパスワードが使われやすくなるためで、FTCのローリー・クレーナー技術責任者は「強制的なパスワード変更は考え直すべきだ」としている。
逆に安全性が低下?定期的な「パスワード変更」は必要ないと判明
Facebookのパスワード再設定に脆弱性、他人のアカウントにフルアクセス可能だったことが判明
ようは、パスワード自身はウェークポイントになってる以上、パスワードのないシステムが理想ですね。
二段階認証でもいいですが、そもそもパスワードがなければリスクがなくなるし。
識別子がメアドであれば、都度に認証コードを送ればいいし、スマホであれば識別子を端末IDにし、SMSで認証コードを送ればいいです。
Googleみたいに、音声で受け取ることも参考になりますね。