4桁の英字パスワードは3秒で破られる--IPAが注意を呼びかけ - CNET

脆弱なパスワードを使ってると危ないよ、というお話。
4 桁英字のみのパスワードだと、そこらへんに転がってるツールでも 3 秒で破られちゃうそうで。
26⁴ = 456,976 通りじゃね...
大文字小文字ありの英数字 4 桁だと 14,776,336 通り
英数字 8 桁で 218,340,105,584,896 通り
重要なパスワードはせめて英数字+記号 (!#$%&()*+-./:;<=>?@[]^_`{|}~ とスペース) 込みで 10 桁は欲しいところ。これで 38,941,611,811,810,745,401 通り

でも「月に一回は変更を」というのは、逆効果なんじゃないかと。しょっちゅう変更しなきゃいけなくなると、必然的に簡単なパスワードしか作れなくなるのが人というもので。強力なのを一つ作ってそれを保持するほうがいいと思う。

クレジットカードのオンラインサービスなんかで、カード番号と暗証番号（もちろん数字 4 桁 = 10,000 通り）でログイン可、とかいうのを見ると、呆れるを通り越して笑うしかなくなる...