まあ、パスワードをどう管理するか、というのは何でもかんでもパスワードが必要になってしまったウェブサービス依存型の我々の生活では重要な問題ではあります。
http://neta.ywcafe.net/000910.html
パスワードによるログイン管理の陳腐化と 制度整備の検討 - 雑種路線でいこう
ただ、このへんの話はパスワードそのものをどう管理するか、という問題そのものでは実はないんだよね。法律で義務付けようが、Open-IDを採用しようが、いちばん最初の問題は「相手をどう信用するか」なんです。日本で一番使われているパスワードの場は銀行ATMだと思うけれども、キャッシュカードの早くからの普及は信用を商売にしている銀行だからこそ可能であったことも一つあると思います。もっともその実態は昔はお寒いものではありましたが、技術に投資できる金額の差でなんとかやっていただけかな。
ところが、ウェブ時代になってID/PASSWORDの組をセットで使うのは当たり前になっちゃった。信用できるかどうかわからないサイトに個人情報のみならず、認証情報を渡してしまう。もちろん、これがないと個人を識別できない。元々ウェブは個人を識別するための仕掛けがないから仕方がない。
もう一度考えてみよう。キャッシュカードの情報は、(ICカードじゃないとき磁気リーダーで読めて複製されちゃうとかそういう話は措いて)それそのものが個人識別情報であり、各銀行に個別のものであります。もちろん中身は単純だし読んだらわかっちゃうけど、少なくとも使う側は「IDを使い分ける」ということを特に管理することなく(精々券面に書かれた銀行名を識別するだけで)出来てしまいます。
一方でウェブサイトに登録するときのIDって

• メールアドレスがID
• 自由に付けられるID

だったりしますよね。タダで使えるサイトに特に多いです。一方で銀行なんかは変えられなかったりします。
メールアドレスがIDってことは、そのメールアドレスで登録したサービスは「IDとパスワードの組が一緒」になっている可能性が極めて高いんだよね。僕が例えば釣りの偽サービスでメールアドレスとパスワードの組でユーザー登録させて、それを使って手当たり次第その組でログインできるサービスにログインしまくるスクリプトを作ったら、偽サービスさえ上手く人を集められたら膨大な個人情報を入手できることになるかも知れません。
自由に付けられるIDも然り。これについては早い者勝ちで被っちゃうようなIDなんかは実際には違う人だからログインできない、ということも多いでしょうから、まだマシかも。
いずれにせよ、ここで言いたいのは、IDとパスワードの組を使い回せば使いまわすほど危ないこと、それから、平文で管理しようがハッシュで管理しようが、サイト運営者が信用できない限りは上記のような行為を防ぐことができないこと。つまり、どんなにパスワード管理が厳格であろうが、それをもって同一ID/パスワードの組を使うことにするのは危険な行為だということ。
逆に言うと、IDさえサービスごとに代えておけば、パスワードが同じであっても短期的には問題はない(なぜ短期的か、というと、どんなに独創的で複雑で十分に長いパスワードであってもどこかのサイトから流出したのが辞書に登録され、辞書攻撃されると危ないからだ)。
パスワードのいいところは、パスワードが流出したところでIDと結びつかない限り個人情報に到らないところだ。生体認証情報なんかもそれそのものが流出したとして、それを突合する情報を持っていないと意味がないけど、突合出来るのはすでに自分のサービスで持っている個人情報だけ、つまり、もともと知っているものだけ。まあそんなこと出来てもいかんのだけど。

ここまでの話で、メールアドレスとパスワードのセットを認証に使っているサービスを使用するときは十分注意しないといけないことはわかると思う。

さて、じゃあ認証をどう進化させていけばよいのか。電子証明書のような仕掛けを進めていくこともありだと思うし、サービスパス的なもの(それこそICキャッシュカード的なもの)を使ってサイトごとにIDそのものを特別にしていくこと(これはインフラが整えばそれなりに安価に提供できるでしょう)など色々考えることが出来る。パスワードを如何に安全に取り扱うか、だけを考えていても本来片手落ちなのですよね。セキュリティーの本道は、一つの手段に目を向けすぎないことだと思います。