我應該多久更改一次密碼？

親愛的Lifehacker，我的公司和一些網站強迫我定期更改密碼，比如每三個月左右。我需要多久更改一次所有其他登入的密碼（如果有）？...

Illustration for article titled How Often Should I Change My Passwords?

親愛的tl80，我的公司和一些網站強迫我定期更改密碼，比如每三個月左右。我需要多久更改一次所有其他登入的密碼（如果有）？

已簽名、過期的密碼

親愛的SP，很多組織都要求強制更改密碼，因為這一直被認為是一種安全“最佳實踐”。然而，這一規則有其利弊，因此在您決定是否需要定期更改其他密碼之前，讓我們先看看更改密碼的時間是否有意義。

為什麼公司強制實施密碼持續時間策略

當你每隔幾個月更改一次密碼時，它會限制竊取的密碼對祕密攻擊者有用的時間，限制他/她訪問你的帳戶的時間。如果有人偷了你的密碼，而你卻不知道，攻擊者可能會無限期地竊聽並收集你的各種資訊或造成其他傷害。羅謝爾·哈特曼攝

因此，幾十年來，許多安全指南都建議頻繁更改密碼，通常在30到180天之間。Windows Server的預設值為42天。

然而，在大多數情況下，這些政策或建議現在可能已經過時。至少，頻繁更改密碼確實會提高安全性，這一點非常值得商榷。

為什麼經常更改密碼可能是浪費時間

幾年前，微軟的一項研究發現，強制修改密碼會導致幾十億的生產效率損失，而安全回報卻很低。其他電腦保安資源（例如，普渡大學、健康資訊學和lifeas-as-CIO部落格）指出，頻繁更改密碼的“最佳實踐”對提高安全性作用不大，但卻大大增加了每個人的挫敗感。使用者通常會在同一個簡單的密碼上選擇不同的密碼（例如password3），或者求助於貼在膝上型電腦上的便簽。換句話說，在某些情況下，更改密碼的要求實際上可能會增加風險。胡安·馬丁內斯攝

安全專家bruceschneier指出，在今天的大多數情況下，攻擊者不會是被動的。如果他們得到你的銀行賬戶登入，他們不會等待兩個月左右徘徊，但會轉出你的帳戶的錢馬上。在私人網路的情況下，駭客可能更隱蔽，並堅持竊聽，但他不太可能繼續使用你偷來的密碼，而是安裝後門訪問。定期更改密碼對這兩種情況都沒有多大作用(當然，在這兩種情況下，一旦發現安全漏洞並阻止入侵者，就必須立即更改密碼。）

在當今瘋狂的駭客友好系統中，頻繁的密碼更改比以往任何時候都不重要。NIST表示，密碼過期政策“與緩解破解無關”，因為駭客不僅完全掌握了我們巧妙的密碼技巧，而且擁有更先進的硬體和軟體：

一般來說，密碼過期時間對緩解破解沒有多大幫助，因為與其他密碼策略元素的影響相比，密碼過期時間對攻擊者所需花費的工作量影響很小。假設一個組織將其密碼有效期從60天縮短為30天。攻擊者只需使用兩倍的硬體資源來補償此更改。

駭客的機器每秒可以破解3480億個NTLM密碼雜湊(NTLM是Windows中使用的一種密碼加密演算法。以每秒3480億NTLM雜湊計算，任何8個字元的密碼都可能在5.5小時內被破解。）

所以，真的，每30天或90天更改一次密碼是不值得的，也不太可能提高你的安全性。這是一件好事，因為我們很多人寧願打掃廁所也不願更改密碼。

您可能希望定期更改密碼的帳戶

通常情況下，也有例外。對於某些型別的帳戶，駭客可能更願意“監聽”並默默地獃上幾個月，直到他們從你那裡收集到重要資訊。施奈爾指出，例如，如果你的妹妹或小報（如果你是某類名人）有你的Facebook密碼，他們很可能會一直聽，直到你更改密碼，如果你一直不知道密碼，那可能是幾個月或幾年。

一般來說，這是施奈爾的建議：

您不需要定期更改計算機或線上金融賬戶（包括零售網站上的賬戶）的密碼；絕對不是低安全性賬戶。你應該偶爾更改你的公司登入密碼，你需要仔細看看你的朋友、親戚和狗仔隊，然後再決定多久更改一次你的Facebook密碼。但是如果你和一個和你共用一臺電腦的人分手了，就把他們都換了。

我想補充一點，你可能會考慮定期更改沒有雙因素身份驗證的通訊型別站點的密碼：尤其是電子郵件，以及類似IM或會議服務的內容。這些服務對窺探者更為友好，駭客可能會在你發現之前監聽數月(另一方面，你真的應該使用雙因素身份驗證的電子郵件服務，因為如果駭客能進入它，它是一個金礦。它可能是你需要保護的最重要的帳戶，還有你的密碼管理器和計算機帳戶。）一些服務，包括Gmail、Facebook和Dropbox，會向你顯示活動會話，因此作為一般的安全預防措施，你可以檢查這些服務，以確保沒有其他人登入你的帳戶。