パスワードの有効期限は、（ランダムに生成されたパスワードを使用する場合）何かメリットがありますか？

はい、90日ごとにパスワードを変更することにはメリットがあります。定期的な変更を強制することで、パスワードの不正使用に対する保護を提供したり、不正使用の期間を制限したりできます。これらの同じ目標を達成するためのより良い代替案があります（たとえば、異常な使用の検出、リスクベースの認証など）。ただし、パスワードの有効期限をこれらの代替案と比較するように依頼しませんでした。

ランダムに生成された強力なパスワードを使用すると、関連付けられたアカウントがパスワードの推測、資格情報の詰め込み、またはパスワードのクラッキング攻撃によって侵害される可能性が低くなるため、パスワードの悪用のリスクが軽減されます。ただし、マルウェア、認証サーバーの侵害、パスワードマネージャーの欠陥、ユーザーが意図的にパスワードを他のユーザーと共有しているなど、攻撃者がユーザーパスワードを入手するための他の手段は依然として残っています。パスワードの強度と一意性は、これらの攻撃から保護されません。 A. Herseanはこれらのリークの修正に集中するように言っています。これは良いアドバイスですが、言うよりも簡単です。

攻撃者がユーザーパスワードを侵害した場合、有効期限ポリシーが設定されていれば、そのパスワードを使用する時間が制限されます。その機会の間に、彼らは意図する悪意のあるアクションを完了することができたり、攻撃をエスカレートして、元のユーザーのパスワードに依存しないアクセスのための継続的なバックドアを作成したりする可能性があります。これらの状況は、パスワードの有効期限の恩恵を実際には受けません。ただし、攻撃者が攻撃をエスカレートできず、アクセスを維持するためにパスワードの継続的な使用が必要になる状況もあります。これらは、パスワードの有効期限が役立つ状況です。

定量化するのが難しいのは、これらの状況がどれほどまれであり、そのような状況の多くでパスワードの有効期限が攻撃の持続時間を防止または短縮するかです。そのため、パスワードの有効期限ポリシーを維持するためのコストを理解する必要がある大まかな費用便益分析になります。定期的なパスワードの更新を完全に自動化でき（一部のパスワードマネージャーはこれを可能にする場合があります）、ユーザーに透過的である場合、メリットはまれですが、価値を提供しているように見えます。パスワードの変更を自動化できない場合は、ユーザーの時間コストを正当化するのに十分なメリットが得られない可能性があります。この場合、パスワードの侵害を検出して防止するのに役立つパスワードの有効期限の代替手段に焦点を当てます。

さらに、定期的なパスワード変更を完全に自動化できる場合は、90日に1回よりも頻繁に行われる変更を適用することを検討する必要があります。これにより、パスワードの侵害のリスクをさらに減らすことで、有効期限の利点を増やすことができます。