什么是好密码？一些长的，随机的，有各种字符，数字，符号和字母的所有情况下，理想情况下，一些备份的第二身份验证方法。换句话说，你越容易记住你的密码，别人就越容易破解它（一般来说）。

尽管这对于任何需要创建密码的人来说都应该是常识，而且有很多工具可以用来生成、存储和调用非常好的密码，但是对于这个过程，有一点需要注意的是，您可能没有考虑太多。您应该多久更改一次密码？

你可能在工作中经历过这种情况比其他任何事情都多一些恼人的通知或电子邮件让你知道是时候（再次）更改密码了。这可能是一个麻烦的过程，特别是如果你必须去多个应用程序和设备更新你的密码。

事实证明，这整个过程是非常不必要的。只要你有一个强大的密码开始，它的存在不会使它不那么强大。在一篇博客文章中，微软“Windows书呆子”和安全专家Aaron Margosis详细说明了为什么微软放弃了Windows 10和Windows Server 2019的基本安全设置中的密码过期策略：

“定期密码过期只是针对密码（或散列）在其有效期内被窃取并被未经授权的实体使用的可能性进行的防御。如果密码从未被盗过，就没有必要让它过期。如果你有证据表明密码被盗，你可能会立即采取行动，而不是等待到期来解决问题。

如果给定一个密码很可能会被窃取，那么允许窃贼继续使用该被盗密码的时间长度是多少？Windows默认值为42天。难道这不是很长时间吗？是的，但我们目前的基准是60天，过去是90天，因为强制频繁过期会带来自身的问题。如果不是给定密码会被窃取，那么你获得这些问题并没有任何好处。此外，如果您的用户愿意回答在停车场用糖果棒交换密码的调查，则无密码过期策略将对您有所帮助。

[...]

定期密码过期是一种古老而过时的非常低值的缓解措施，我们认为我们的基线不值得强制执行任何特定值。通过将其从我们的基线中移除，而不是推荐某个特定的值或不过期，组织可以选择最适合其感知需求的内容，而不会违背我们的指导。同时，我们必须重申，我们强烈建议采取额外的保护措施，尽管这些措施无法在我们的基线中表达出来。”

我是一个狂热的1Password用户喜欢它，我很欣赏应用程序如何不遗余力地让你知道你使用的密码可能是不安全的或以其他方式泄露。根据微软的建议，它没有做的是给你任何悲伤，因为你正在使用的密码是x天（或x年前）。

也就是说，有一个很有价值的理由改变你的密码，无论这是一个被迫的过程还是你自己决定做的。如果你是那种不检查你使用的密码是否被泄露的人，那么定期提出新的密码至少是一个很好的办法，可以用来对付那些可能公开的较弱的密码。

对此，我提出了另一个建议：与其按照任意的时间表更改密码，不如升级密码。如果你是一个完美的密码创造者，你可能不需要这一步。但是，如果你像我一样是正常人，而且你有时会对正在尝试的新服务使用较弱的密码，因为你不想麻烦地打开密码管理器并调用一个22个字符的怪物，那么你应该安排时间检查并升级你的蹩脚密码，以获得更安全的密码。

如果您使用的是密码管理器，那么就非常容易做到这一点，因为您只需扫描保存的密码列表，然后开始更新任何异常的内容：“cat12345”，而不是“1Jf”*@4,f@a9!04#*5vka*4&5%。“不过，你应该已经很清楚自己是否对自己喜欢的应用程序和服务使用了弱密码，如果你根本不使用任何密码管理器，这种情况可能更为严重。

这将是一个乏味的过程，如果你有一吨薄弱的密码，但你总是可以战略性地思考。从你最常使用的账户开始，从那里开始你的工作(同样，密码管理应用程序将使这一过程变得简单，而一个优秀的应用程序将能够在看到您在为服务使用较弱的密码时告诉您。）

当然，即使是最大的密码也能从增强中获益：尽可能使用多因素身份验证，您的帐户将更加安全。然后打印这篇文章或微软的博客文章，当你今年第八次被迫更改密码时，把它交给你的it团队。