您多久更改一次密码？我们打赌你的一些证书已经有十多年的历史了。

事实上，我们中的大多数人只有在情况迫使我们更改密码时才更改密码。通常情况下，要么是你记不起来了，要么是某个应用程序或你的公司强迫你每隔几个月创建一个新的应用程序。

那么，哪种方法是对的？你应该多年不动密码，还是应该像季节一样频繁地更改密码？以下是频繁更改密码的利弊。

它使你的帐户（稍微）更安全

人们普遍认为，频繁更改密码会使您的帐户更安全。

这一论点表明，如果你是泄露的不知情受害者，定期更改密码可以很快否定一个潜在黑客在文件中的细节。

同样，如果有人在你不知情的情况下获取了你的密码，这将防止该人在较长时间内窥探你。这就是为什么全国各地的It经理如此痴迷于每隔几周就给你一次强制重置。

这个论点有效吗？是的，但并不像你想象的那么清晰。即使假设您的新密码与以前的密码一样强大（稍后将详细介绍），这种做法的好处也微乎其微。

在卡尔顿大学的一篇论文中，研究人员解释说，能够访问散列密码文件的攻击者可以在离线时执行攻击。因此，它们可以在短时间内测试大量密码。弱强度和中等强度的密码存在风险。

论文接着从数学上证明，即使频繁的强密码更改也只会对攻击造成微不足道的阻碍。这种好处几乎肯定不值得它给用户带来的不便。

相反，本文建议系统管理员应该使用bcrypt之类的慢散列函数。用户不会感到不便，而且该过程使攻击者更难快速猜出大量密码。

您的新密码可能不安全

我相信您不需要我们来告诉您如何创建强密码，但这些信息始终值得重复：

• 你的密码应该使用字母和数字的混合。
• 它应该使用一些大写和小写字母。
• 理想情况下，它应该包含特殊字符。
• 长度应超过12个字符。

这四点说起来容易做起来难。创建满足所有要求的密码——然后记住它们——需要大量的精力。

那么，当人们过于频繁地更改凭据时会发生什么？简言之，他们变得懒惰。

同样，这是一个科学证明的现象。2010年，北卡罗来纳大学（University of North Carolina）的研究人员发表了一篇题为“现代密码过期的安全性：一个算法框架和实证分析[breaked URL Removed]”的论文。在这篇论文中，他们研究了该大学失效账户的密码历史。

这项研究调查了1万多个旧账户和51141个密码。研究人员进行了离线哈希攻击，最终破解了60%的凭证。从这60%的人中，7752个密码不是账户上使用的最终密码。

然后，他们使用该数据集来查看是否可以外推连接到帐户的其他密码。结果是惊人的。在17%的情况下，在5秒内就可以猜到帐户上使用的下一个密码。

但为什么呢？这项研究得出结论，人们在频繁更改密码时往往会做出非常微小的改动。例如，香肠123可能变成$ausage123，hellocheese！会变成地狱狼！！，等等。

你应该什么时候更改密码？

一开始，我开玩笑说，你可能有一些密码，这是接近他们的十岁生日。但这是个玩笑吗？

到目前为止，我们看到的证据似乎表明，长期存在的密码实际上可能是一件好事。真相是什么？你只需要一点常识。

当然，如果您怀疑有人未经您的授权访问您的帐户，您应该更改您的密码。如果您在输入您的网上银行凭据时认为有人在监视，则应更改您的密码。如果你不得不把你的密码“借”给别人，你应该修改它。

如果你认为你不小心成为了网络钓鱼骗局的受害者，你应该更改你的密码。

在所有情况下，您都需要确保新密码与旧密码没有相似之处。不要用同一个核心词。不要把相同的特殊字符放在相同的位置。也不要试着把旧密码写反。

请记住，您还应该通过使用类似凭据的任何其他帐户更改密码。例如，如果你的Facebook密码是flowerpot1，Twitter密码是1flowerpot，你应该同时更改它们。

如果您不确定，那么在创建新密码时，只需遵循本文前面讨论的四个基本准则。

强制密码重置怎么办？

但是强制密码重置呢？应用程序或你的雇主强制你输入新密码是个好主意吗？可能不会。

2009年，美国国家标准与技术研究院（National Institute of Standards and Technology）表示，定期更改密码“有利于减少某些密码泄露的影响”，但“对其他人无效”。当然，用户经常会因为强制更改而感到沮丧。公司需要在安全性和可用性之间达成妥协。

底线

这些论点听起来可能很复杂，但很容易总结。

• 用户发起的频繁密码更改可能会使用户稍微更安全，前提是新密码非常健壮。
• 强制频繁更改密码通常会产生负面影响，用户会选择不太安全的凭据。

现在我们想听听你对辩论的看法。您对自己定期选择安全密码的能力有信心吗？或者在你所有的账户上使用一个十年前的密码你高兴吗？

请记住，如果您经常创建复杂的新密码，您可以使用类似LastPass的密码管理应用程序。你不需要自己回忆密码。