地味に、かつ間遠に議論が続いているような感じですが（笑）。
このエントリ＞http://d.hatena.ne.jp/sonodam/20090702/p4にコメントやトラックバックもらってるので、ちょっとまた考えてみました。
はてなグループ
パスワードをリカバーする仕組みが確立されていない、ってのは確かにそうかもなあ、って思う反面、パスワード変更ってそんなに怖がられているのかとは思ったかなあ。怖いというより面倒という方が多いような気もするけどｗ。
まあでも、取り返しが付かないことになることをおそれているというのは確かにあるかもしれませんね。
しかし、リカバーというのは諸刃の剣でもありますよね。
リカバーできる仕組みっていうのは、その認証にとって弱さにもなり得るからなあ。例えば、自由設定ではない、選択制の「秘密の質問」なんてのがそうかな（笑）。そういう意味では、ご意見のとおりリカバーのまあ納得できるレベルで安全なテンプレがあれば良いのでしょうね。
ただ、もう一つ思うのは、パスワード変えるというのはそんなに恐ろしいのかな、ということかな。ってゆか恐ろしさの原因はどこにあるのだろう？「うっかり変えてしまったけど、ミスタイプとかでなんかログインできなくなっちゃった、ってなるのが怖いのかな？
もしかしたらそれは、変えるプロセスの設計に問題があるのかも知れませんね。
旧パスワードを覚えているという前提の場合、まずは旧パスワードを入れさせて、変更画面に行きますよね。で、そこで確認入力を含めて、新しいパスワードを二回入力させますかねー。二回の入力によって単純なミスタイプとかは防げる仕組みになっていますが、ユーザー側にちょっとした手間をかけてもらえるなら、そこでメモ帳とかテキストエディタを開いてもらって、新しいパスワードを文字列として書き込み、まずはテキストファイルで保存して、その文字列を1回目、2回目ともにコピペすると良いかもしれませんね。そうしたら間違えるはずもないし。仮にコピペの範囲をミスったとしてもサブセットにしかならないはずだから何とかなると思うしね。そういうミスを防ぐなら、コピペを二回やれば良いでしょうし。
で、無事変更できたかどうか、再ログインしてみて確認できたら、そのファイルを印刷してファイルそのものは消しておくとか。
こんな風に変えてやれば、ミスの可能性はもうちょっとだけ減らせるのかな。手間に頼るのではなく、プロセスを設計し直すことも検討したいところですが、現状で何ができるかっていうところで言えばこんな感じでしょうか。
コピペが気持ち悪いという気もするけど、それよりはパスワードの鮮度と強度の方が重要なので、心理的な障壁のために鮮度が落ちるよりはましかも、とか思いますね。
ただまあそれでもゼロではないとして、それがまだ怖いならば今度は変更プロセスの中にセーフティネットが必要になるような気がしますね。例えば、ある程度旧と新パスワードを並列できるとか。旧パスワードも一週間は使えます、みたいな仕掛けになっていれば、その間に旧パスに戻すこともできるし、新パスワードの確認・試用も可能ですしね。まーIDとパスワードを1対2で結びつけるのって、システム側としてはけっこう大変かもしれないけど（笑）。
というか、そもそもパスワードを定期的に変更する、というのが重要なのか、という話もありますけどね。今のところ思いつくのは盗聴対策くらいなんだけど、まあそれ以上の重い「動機」が必要なのか、あるいは論考して「別に変えなくてもいいじゃん」って思うのかという、まさに「そもそも」の議論も必要っぽいですけどねえ。