パスワードは何ビットの強度で暗記すべきか？

どんな情報を守るかに寄りますが、個人的には国家秘密や人命にかかわるような事を守っていないので、その点ご承知下さい。（笑）

すぐ使える株式会社の井上と申します。

パスワードの運用は面倒ですよね。分かります。

私の運用方法をご案内すると、実は、暗記していません。
どこで使っているかを書かずに、別のノートにパスワードを設定した日付と、パスワードそのものや、特定の文字だけを伏字にしたり、自分だけに分かる「秘密の質問」の形式で書いておきます。

どのようなパスワードにするかという事については、ランダムな文字の組み合わせの短い（8文字など）パスワードよりは、ある程度覚えやすい言葉や名前などを含む長いパスワードにしています。ただし、後者はログイン先システムが長いものを許可している場合ですが。

辞書にあるような言葉を使う場合は、
・大文字小文字を混ぜる
・複数言語のつづりを使う
・アルファベットのオーを数字のゼロ、エルをイチに読み替える
などの変換をしています。

自分でシステムを開発する際のパスワードの設定は（繰り返しますが、あまりクリティカルでない Web アプリケーションです）、お客様から特に指定やシステム上の制約がない限り
・桁を固定しない
・長目の文字数まで許可する
・記号や数字の混合を必須にしない
としています。

覚えにくいパスワードをパソコンに貼られてしまったりずっと使い続けられるより、適当に覚えやすいものをどんどん変えて使って頂いた方がいいと考えているためです。

また、ユーザが覚えずどんどん再発行をしてもらう前提で、システムで指定したランダム文字列をだけを使う、という方式にする場合もあります。このような場合、割合頻繁に再発行リクエストがあります。


「攻撃に堅牢だと思うか」については、狙い撃ちで攻撃されたらひとたまりもないものもあるだろうな、というのが正直なところですが、パスワードの強度自体よりは頻繁に変えるという事の方が業務システムのパスワード管理には重要だと考えています。