いまさらながらパスワードの要件を考えていたんだけど、結局のところ破られない、盗まれないためにどうするか、ということになるわけですよね。まずは簡単に推測されないようにするために、「辞書に載っているような単語にはしない」「英数字、記号を使って正解に到達するまでに悪い人が試す組み合わせを増やす」ということが必要になってきます。さらには簡単に盗まれないために「キーロガーに注意（笑）する」「書いた紙をディスプレイに貼り付けない」ということになるのかなあ、とか考えていたわけですが、簡単に推測されないようにする場合と違って、盗まれないようにする、というのはもしかしたら難しいのかなーとか思います。紙を貼らないことくらいはできるけど、キーロガーに注意とかって、ぶっちゃけウイルス対策ソフトウエア頼みだしなー。それに、キーロガーだけに注意してても、Webアプリの脆弱性とか、運営側のタコな運用とかあぼーんセキュリティ対策とかで漏れちゃうケースもあるしねー。ってか盗まれるという脅威に対しては、いくらパスワードが複雑であっても無意味なんすよねー。
となると、盗まれたとしても悪用されないようにどうするか、っていうことになるわけですが、頻繁に変更するというのが良さそうではありますよね。パスワード5種類くらいは用意しておいて、まあ1ヶ月くらいごとに変えるとか。あ、別にこの1ヶ月っていうのになんの根拠も無いんですけどね。でもそれなりに頻繁に変えてたら、盗まれたパスワードが使えなくなる可能性は高くなるわけで。
イヤな話だけど、周囲の人に勝手に見られちゃう危険に対しても、パスワードを変えるというのは意味がありますよね。周囲の人もさすがに本人が居るところじゃ見ないだろうけど、例えば携帯を置いて風呂に入ってる隙とか（笑）、休日出勤や深夜残業で誰も居ないときとか、そういうチャンスを待って見ちゃったりするわけで。そういうチャンスが来る前に変わっていたらのぞき見できないもんなあ。
と、考えると、頻繁に変える、という方が実は複雑なパスワードにする、というよりも重要だったりするのかなあ？サーバーとかの場合はもちろん別だけど、一般的な用途に使うパソコンとか携帯とかの場合は、そういう運用の方がリスクを避けられるような気がするなー。てことは、「今どのパスワード？」というのがちゃんとわかるような管理手順が必要なのかな。