升級密碼，而不是更改密碼

什麼是好密碼？一些長的，隨機的，有各種字元，數字，符號和字母的所有情況下，理想情況下，一些備份的第二身份驗證方法。換句話說，你越容易記住你的密碼，別人就越容易破解它（一般來說）。...

Illustration for article titled Instead of Changing Your Passwords, Upgrade Them

什麼是好密碼？一些長的，隨機的，有各種字元，數字，符號和字母的所有情況下，理想情況下，一些備份的第二身份驗證方法。換句話說，你越容易記住你的密碼，別人就越容易破解它（一般來說）。

儘管這對於任何需要建立密碼的人來說都應該是常識，而且有很多工具可以用來生成、儲存和呼叫非常好的密碼，但是對於這個過程，有一點需要註意的是，您可能沒有考慮太多。您應該多久更改一次密碼？

你可能在工作中經歷過這種情況比其他任何事情都多一些惱人的通知或電子郵件讓你知道是時候（再次）更改密碼了。這可能是一個麻煩的過程，特別是如果你必須去多個應用程式和裝置更新你的密碼。

事實證明，這整個過程是非常不必要的。只要你有一個強大的密碼開始，它的存在不會使它不那麼強大。在一篇部落格文章中，微軟“Windows書獃子”和安全專家Aaron Margosis詳細說明瞭為什麼微軟放棄了Windows 10和Windows Server 2019的基本安全設定中的密碼過期策略：

“定期密碼過期只是針對密碼（或雜湊）在其有效期內被竊取並被未經授權的實體使用的可能性進行的防禦。如果密碼從未被盜過，就沒有必要讓它過期。如果你有證據表明密碼被盜，你可能會立即採取行動，而不是等待到期來解決問題。

如果給定一個密碼很可能會被竊取，那麼允許竊賊繼續使用該被盜密碼的時間長度是多少？Windows預設值為42天。難道這不是很長時間嗎？是的，但我們目前的基準是60天，過去是90天，因為強制頻繁過期會帶來自身的問題。如果不是給定密碼會被竊取，那麼你獲得這些問題並沒有任何好處。此外，如果您的使用者願意回答在停車場用糖果棒交換密碼的調查，則無密碼過期策略將對您有所幫助。

[...]

定期密碼過期是一種古老而過時的非常低值的緩解措施，我們認為我們的基線不值得強制執行任何特定值。透過將其從我們的基線中移除，而不是推薦某個特定的值或不過期，組織可以選擇最適合其感知需求的內容，而不會違揹我們的指導。同時，我們必須重申，我們強烈建議採取額外的保護措施，儘管這些措施無法在我們的基線中表達出來。”

我是一個狂熱的1Password使用者喜歡它，我很欣賞應用程式如何不遺餘力地讓你知道你使用的密碼可能是不安全的或以其他方式洩露。根據微軟的建議，它沒有做的是給你任何悲傷，因為你正在使用的密碼是x天（或x年前）。

也就是說，有一個很有價值的理由改變你的密碼，無論這是一個被迫的過程還是你自己決定做的。如果你是那種不檢查你使用的密碼是否被洩露的人，那麼定期提出新的密碼至少是一個很好的辦法，可以用來對付那些可能公開的較弱的密碼。

對此，我提出了另一個建議：與其按照任意的時間表更改密碼，不如升級密碼。如果你是一個完美的密碼創造者，你可能不需要這一步。但是，如果你像我一樣是正常人，而且你有時會對正在嘗試的新服務使用較弱的密碼，因為你不想麻煩地開啟密碼管理器並呼叫一個22個字元的怪物，那麼你應該安排時間檢查並升級你的蹩腳密碼，以獲得更安全的密碼。

如果您使用的是密碼管理器，那麼就非常容易做到這一點，因為您只需掃描儲存的密碼列表，然後開始更新任何異常的內容：“cat12345”，而不是“1Jf”*@4,f@a9!04#*5vka*4&5%。“不過，你應該已經很清楚自己是否對自己喜歡的應用程式和服務使用了弱密碼，如果你根本不使用任何密碼管理器，這種情況可能更為嚴重。

這將是一個乏味的過程，如果你有一噸薄弱的密碼，但你總是可以戰略性地思考。從你最常使用的賬戶開始，從那裡開始你的工作(同樣，密碼管理應用程式將使這一過程變得簡單，而一個優秀的應用程式將能夠在看到您在為服務使用較弱的密碼時告訴您。）

當然，即使是最大的密碼也能從增強中獲益：盡可能使用多因素身份驗證，您的帳戶將更加安全。然後列印這篇文章或微軟的部落格文章，當你今年第八次被迫更改密碼時，把它交給你的it團隊。