亲爱的tl80，我的公司和一些网站强迫我定期更改密码，比如每三个月左右。我需要多久更改一次所有其他登录的密码（如果有）？

已签名、过期的密码

亲爱的SP，很多组织都要求强制更改密码，因为这一直被认为是一种安全“最佳实践”。然而，这一规则有其利弊，因此在您决定是否需要定期更改其他密码之前，让我们先看看更改密码的时间是否有意义。

为什么公司强制实施密码持续时间策略

当你每隔几个月更改一次密码时，它会限制窃取的密码对秘密攻击者有用的时间，限制他/她访问你的帐户的时间。如果有人偷了你的密码，而你却不知道，攻击者可能会无限期地窃听并收集你的各种信息或造成其他伤害。罗谢尔·哈特曼摄

因此，几十年来，许多安全指南都建议频繁更改密码，通常在30到180天之间。Windows Server的默认值为42天。

然而，在大多数情况下，这些政策或建议现在可能已经过时。至少，频繁更改密码确实会提高安全性，这一点非常值得商榷。

为什么经常更改密码可能是浪费时间

几年前，微软的一项研究发现，强制修改密码会导致几十亿的生产效率损失，而安全回报却很低。其他计算机安全资源（例如，普渡大学、健康信息学和lifeas-as-CIO博客）指出，频繁更改密码的“最佳实践”对提高安全性作用不大，但却大大增加了每个人的挫败感。用户通常会在同一个简单的密码上选择不同的密码（例如password3），或者求助于贴在笔记本电脑上的便签。换句话说，在某些情况下，更改密码的要求实际上可能会增加风险。胡安·马丁内斯摄

安全专家bruceschneier指出，在今天的大多数情况下，攻击者不会是被动的。如果他们得到你的银行账户登录，他们不会等待两个月左右徘徊，但会转出你的帐户的钱马上。在私人网络的情况下，黑客可能更隐蔽，并坚持窃听，但他不太可能继续使用你偷来的密码，而是安装后门访问。定期更改密码对这两种情况都没有多大作用(当然，在这两种情况下，一旦发现安全漏洞并阻止入侵者，就必须立即更改密码。）

在当今疯狂的黑客友好系统中，频繁的密码更改比以往任何时候都不重要。NIST表示，密码过期政策“与缓解破解无关”，因为黑客不仅完全掌握了我们巧妙的密码技巧，而且拥有更先进的硬件和软件：

一般来说，密码过期时间对缓解破解没有多大帮助，因为与其他密码策略元素的影响相比，密码过期时间对攻击者所需花费的工作量影响很小。假设一个组织将其密码有效期从60天缩短为30天。攻击者只需使用两倍的硬件资源来补偿此更改。

黑客的机器每秒可以破解3480亿个NTLM密码哈希(NTLM是Windows中使用的一种密码加密算法。以每秒3480亿NTLM哈希计算，任何8个字符的密码都可能在5.5小时内被破解。）

所以，真的，每30天或90天更改一次密码是不值得的，也不太可能提高你的安全性。这是一件好事，因为我们很多人宁愿打扫厕所也不愿更改密码。

您可能希望定期更改密码的帐户

通常情况下，也有例外。对于某些类型的帐户，黑客可能更愿意“监听”并默默地呆上几个月，直到他们从你那里收集到重要信息。施奈尔指出，例如，如果你的妹妹或小报（如果你是某类名人）有你的Facebook密码，他们很可能会一直听，直到你更改密码，如果你一直不知道密码，那可能是几个月或几年。

一般来说，这是施奈尔的建议：

您不需要定期更改计算机或在线金融账户（包括零售网站上的账户）的密码；绝对不是低安全性账户。你应该偶尔更改你的公司登录密码，你需要仔细看看你的朋友、亲戚和狗仔队，然后再决定多久更改一次你的Facebook密码。但是如果你和一个和你共用一台电脑的人分手了，就把他们都换了。

我想补充一点，你可能会考虑定期更改没有双因素身份验证的通信类型站点的密码：尤其是电子邮件，以及类似IM或会议服务的内容。这些服务对窥探者更为友好，黑客可能会在你发现之前监听数月(另一方面，你真的应该使用双因素身份验证的电子邮件服务，因为如果黑客能进入它，它是一个金矿。它可能是你需要保护的最重要的帐户，还有你的密码管理器和计算机帐户。）一些服务，包括Gmail、Facebook和Dropbox，会向你显示活动会话，因此作为一般的安全预防措施，你可以检查这些服务，以确保没有其他人登录你的帐户。

最重要的是：加强你的安全

更重要的是，你要为所有帐户选择一个唯一的密码，越长越好，并加强所有其他安全选项（双因素身份验证，使密码恢复问题不可用，并备份所有内容），因为最终，无论你多久更改一次，强密码都是不够的。

如果你有任何薄弱或重复的密码任何地方，一定要改变他们尽快。另外，每一个常规的安全漏洞都是一个提醒，提醒你不仅要检查和更新你的密码，还要在需要时更新你的安全设置。在这一切之后，享受内心的平静，你正在尽你所能，并节省自己的麻烦，改变所有密码的时间表。

爱你，生活黑客