パスワードの定期変更が無意味なら過去使用したパスワードの再利用不許可も無意味だよね？

ちょっと思ったんだけどね。

ネットで、

「パスワードの定期変更をしましょう」だってー！
m9(^Д^ )プギャー！ そんな制限、意味ないのに！
パスワードを定期変更していいのは小学生までだよねー！
ハハハハ！

というイキフンが形成されつつあるというか、されきっているけれども。

これの理屈って、

過去に使用したパスワードの（ハッシュの）履歴を取っておき、
一致するものへのパスワード変更を禁止する のは無意味

とほぼ等価だよね？

いや、個人的にはどちらでもいいんだけれども（だってしょせん人間が打ち込めるような文字のパスワード認証使ってる時点でみんな危ないもん）。

このルールが設定されている環境だと、利用者の混乱が激しくてたいへんなんだよね。

• 新しいのなににしよう
• あれ？　おれ、なにに変えたんだっけ？
• えーと、あれはこのあいだ使ったんだっけ？

とかなる。というわけで、こちらとしては、

ふだんから使ってる強そうな8文字のパスワードに、
パスワード変更年月を yyyymm 形式で追加して使うといいよ

とかアドバイスするわけだ。

…本末転倒だね。うん。逆にソーシャルハックしやすくなってるね。

ということで、みなさん、定期変更だけじゃなくて「過去履歴にさかのぼってのパスワード再利用禁止も無意味」って広めてほしいなぁ、と願う次第なのです。

まあ、エンタープライズ環境だとだいたいこの設定はデフォルトになってるか、かんたんにできるようになってて。Windows Server（Active Directory）はもちろんだし、別にマイクロソフトじゃなくても市場のニーズにこたえるべくLDAPサーバー各種も対応してる。いちいちセットアップのたびにオフにしなきゃならない…。

あ、ちなみに「うちはLinuxだからだいじょうぶだよーん」なんて思ってると、/etc/pam.d/system-auth に

password    sufficient    pam_unix.so md5 shadow remember=2

なんて書いてあったりするんだよ。気をつけましょう。