是否應該強制用戶定期重置密碼？

常見的帳戶安全建議之一是用戶應定期更改密碼。這種方法背後的原因是盡量減少任何密碼有效的時間長度，以防它被洩露。整個戰略基於美國 NIST 或國家標準與技術研究所等頂級網絡安全組織的歷史建議。

幾十年來，政府和公司都遵循這一建議，並強迫其用戶定期重置密碼，通常每 90 天一次。然而，隨著時間的推移，研究表明這種方法並沒有按預期工作，並且在 2017 年NIST與英國的NCSC或國家網絡安全中心一起改變了他們的建議，僅在有合理懷疑存在妥協時才要求更改密碼。

為什麼要更改建議？

定期更改密碼的建議最初是為了幫助提高安全性而實施的。從純粹的邏輯角度來看，定期刷新密碼的建議是有道理的。不過，現實世界的體驗略有不同。研究表明，強迫用戶定期更改密碼使他們更有可能開始使用可以增加的類似密碼。例如，用戶不會選擇像“9L=Xk&2>”這樣的密碼，而是使用像“Spring2019!”這樣的密碼。

事實證明，當被迫想出並記住多個密碼然後定期更改它們時，人們始終使用更不安全的易於記憶的密碼。像“Spring2019！”這樣的增量密碼的問題 是它們很容易被猜到，然後也很容易預測未來的變化。結合這意味著強制重置密碼會促使用戶選擇更容易記住的密碼，因此密碼強度較低，這通常會積極破壞降低未來風險的預期好處。

例如，在最壞的情況下，黑客可能會破壞密碼“Spring2019！” 在它生效後的幾個月內。此時，他們可以嘗試使用“Fall”而不是“Spring”的變體，他們很可能會獲得訪問權限。如果公司檢測到此安全漏洞，然後強制用戶更改密碼，則受影響的用戶很可能只會將其密碼更改為“Winter2019！” 並認為它們是安全的。知道模式的黑客如果能夠再次獲得訪問權限，很可能會嘗試這樣做。根據用戶堅持這種模式的時間長短，攻擊者可以使用它進行多年的訪問，同時用戶會感到安全，因為他們會定期更改密碼。

有什麼新建議？

為了鼓勵用戶避免使用公式化密碼，現在的建議是僅在合理懷疑密碼已被盜用時才重置密碼。通過不強迫用戶定期記住新密碼，他們更有可能首先選擇強密碼。

與此相結合的是一些其他建議，旨在鼓勵創建更強的密碼。其中包括確保所有密碼的絕對長度至少為 8 個字符，並且最大字符數至少為 64 個字符。它還建議公司開始從復雜性規則轉向使用使用弱密碼字典（例如“ChangeMe！”）的阻止列表。和滿足許多複雜性要求的“密碼1”。

網絡安全社區幾乎一致同意密碼不應自動過期。

注意：不幸的是，在某些情況下，可能仍然有必要這樣做，因為一些政府尚未更改要求敏感或機密系統密碼過期的法律。