「パスワードを定期的に変更する必要は無い」という議論、というか、私的には結論、は、随分前から認識しています。
他にも、
・紙にパスワードを書いてはいけない
・試験的にわざと不審なURL付きのメールをばらまいて、クリック数を評価する
・アドレス帳のメールアドレスに、氏名や個人情報を紐付けない。
なんていうのは全て、意味薄弱なanti-patternであり、一方向からの思慮しかないセキュリティ対策だと思っています。
利用者のIT literacyや環境に依って最適な対策は変わるでしょうし、セキュリティ対策においては、「こうしておけばOK」や「あの頃はこうしていたから」「他でこうしているから」のような思考停止は、真っ先に排除すべきでしょうね。
火事・地震に対する避難訓練があるように、マルウェアに対する対応訓練がもっとあってよいとも思います。
[元記事]
・連邦取引委員会、「パスワードを定期的に変更する必要は無い」という内容のブログ記事を公開 | スラド セキュリティ [2016/03/07]
・パスワードを定期的に変更させるシステム仕様には問題がある - GIGAZINE [2016/05/01]
・米セキュリティ指針で「パスワードの定期変更」「秘密の質問」が否定される | スラド セキュリティ [2016/06/28]
