
記事では、過去の研究事例を紹介。3カ月おきにパスワードの変更を必要とした機関のパスワードを解析した結果を紹介し、セキュリティの強化よりも攻撃者に対してパスワードの推測をより容易にする結果が得られたと指摘している。例えば、最初に「tarheel#1」といったパスワードを使った場合、ユーザーは「tarheel#1→Tarheel#1→tArheel#1→taRheel#1」「tarheel#1→tarheel#11→tarheel#111」「tarheel#1→tarheel#2→tarheel#3」のように一定のパターンに従ってパスワードを変更する傾向が見られたという。こうした変更は逆に攻撃者に対してパスワードの推測を容易にさせると説明している。
定期的に推測されにくい強度の強いパスワードに変更することにはセキュリティ上の利点が得られるが、多くの場合、ユーザーはそうしたパスワードの変更は実施せず、覚えやすくかつパスワードの変更が必須というシステム上の要求にも応えられる双方の落としどころに落ち着くことが指摘されている。