Microsoftのパスワードチェッカーは使用しないように

マイクロソフトがネットでパスワードチェッカーを公開しているそうなのですが、これって使う人いるのかなぁ、と言うより、使ってはいけないのではないかと思います。
ニュースソースは安易なユーザー名とパスワードのワースト10、Microsoftが発表(ITmedia エンタープライズ) - Yahoo!ニュースです。

 米Microsoftは11月27日のブログで、自動化された攻撃の標的となりやすい安易なユーザー名とパスワードのワースト10を発表した。
はまだ良いとしても、
 こうした攻撃に遭ってパスワードを破られないためにも、数字と文字と特殊記号、大文字と小文字を組み合わせた長いパスワードを作ることが望ましいと Microsoftは言い、同社が提供しているパスワードチェッカーのページで、自分が作ったパスワードの強度を調べてほしいと促している。
は、言ってみればパスワード収集ツールですよね。
もしも、Microsoftで、アクセス元IPアドレスと入力されたパスワードを保持していたとすれば、それだけでも、「あるIPアドレスの利用者が実際に使っているパスワード」情報になってしまいます。
最近は、ADSLや光回線の利用者も多くなっていて、24時間つなぎっ放しで、IPアドレスがほぼ固定になっている人も少なくないでしょう。
これが流出したら、けっこうな被害になるのではないでしょうか。

ニュースソースにMicrosoft社のパスワードチェッカーのURLが掲載されていないことが、せめてもの救いかも知れません。

■2013/4/14追記(上述の部分は、元記事の公開時点から変えていません)
コメント欄より、Microsoftのパスワードチェッカーは「インターネットでパスワードが送信されることはない」と記載があること、「パスワードチェックはローカルPCで行われている」というご指摘をいただきました。
当方でも、実際にMicrosoftのパスワードチェッカーサイトにアクセスして、「インターネットでパスワードが送信されることはない」旨の記述があること、そして、「オフラインの状態でもパスワードチェック機能が動いている」(微妙に表現を変えているのは、意図的です)ことの確認をしました。
上記にて当方が心配していた懸念は、現時点ではどうやらなさそうな感じでした。

しかしながら、Microsoftのパスワードチェッカーサイトの利用を推奨する気にはなれないというのが正直なところです。
どうしても利用されるのであれば「自己責任で」というのが当方の立場です。

推奨する気になれない理由は、下記です。
・現時点の仕様が、未来永劫変わらない保証はないこと。
・フィッシングサイトが出現する可能性を否定できないこと。
・「オフラインで動作する」ことは、「オンラインでパスワード情報が送信されない」ことの証明にはならないこと。

そもそも、マイクロソフトのようなIT業界で最大手企業の一つと目される企業の行なうべきことは、パスワードチェッカーを提供することではないと、当方は考えています。
最近は、「サイトAから流出したパスワードで、サイトBに不正ログインが行なわれたらしい」という話もしばしば耳にするようになり、「サイトごとに異なるパスワードを利用しよう」という主張はしばしば聞かれます。面倒だとは思いますが、自衛のために、サイトごとに異なるパスワードを使い分けるべきだと思います(実際、当方はそうしています)。
そうした状況下で、「M社のパスワードチェッカーで、A社のサイトで使うためのパスワードの強度を確認する」行為が正当化されるのは、良くない風潮だと考えます。
別に、M社がどうという気はなく、G社でもF社でもT社でも、同じことです。
話を元に戻すと「マイクロソフトのようなIT業界で最大手企業の一つと目される企業の行なうべきこと」は、「安全そうだからと言って、他のサイトのページに対して安易にパスワードを入力してはいけない」とユーザに対して啓蒙することだと思います。オンラインパスワードチェッカーを提供することは、それに逆行することだと考えます。

> それを漠然とした不安で否定されてしまったとしたらもったいない話でしょう。

申し訳ありませんが、「オフラインで動くことを見ても」、やはり、当方は「もったいない」とは感じません。
パスワードの安全性を確保するための手段として、オンラインサイトで提供されるパスワードチェッカーを使うことは、推奨されるべきではないと考えています。