“定期更改密码”是一个常见的密码建议，但不一定是好建议。你不应该费心定期更改大多数密码-它鼓励你使用较弱的密码，浪费你的时间。

是的，在某些情况下，您需要定期更改密码。但这些可能是例外，而不是规则。告诉典型的计算机用户他们需要定期更改密码是一个错误。

规则密码更改理论

从理论上讲，定期更改密码是个好主意，因为这样可以确保有人无法获取你的密码，并在很长一段时间内使用它窥探你。

例如，如果有人获得了您的电子邮件密码，他们可以定期登录您的电子邮件帐户并监视您的通信。如果有人获得了你的网上银行密码，他们可能会窥探你的交易，或者几个月后回来试图把钱转到他们自己的账户。如果有人获得了你的Facebook密码，他们可以以你的身份登录并监视你的私人通信。

从理论上讲，定期（也许每隔几个月）更改密码将有助于防止这种情况发生。即使有人真的获得了你的密码，他们也只有几个月的时间将他们的访问权限用于邪恶的目的。

缺点

密码更改不应该在真空中考虑。如果人类有无限的时间和完美的记忆，定期更改密码将是一个好主意。实际上，更改密码给人们带来了负担。

定期更改密码会让你更难记住好的密码。您必须每隔几个月尝试记住一个新密码，而不是创建一个强密码并将其提交到内存中。被计算机系统强制定期更改密码的用户可能会在密码后面加上一个数字——因此他们可能会使用password1、password2等等。

定期为一个帐户更改密码并每次记住新密码是很困难的。但我们都有很多密码——想象一下，必须定期更改密码，并不断记住大量服务的唯一、强大的密码。

相关：为什么你应该使用密码管理器，以及如何开始

基本上不可能为每个网站选择强大、唯一的密码并记住它们——这就是为什么我们建议使用LastPass或KeePass这样的密码管理器。如果你每隔几个月就修改一次密码，你很可能会在多个网站上重复使用较弱的密码。与定期更改密码相比，在任何地方使用强大、唯一的密码都要重要得多。

为什么更改密码不一定有帮助

定期更改密码并没有你想象的那么有帮助。如果攻击者获得对您帐户的访问权限，他们很可能会立即使用其访问权限造成损害。如果他们进入你的网上银行账户，他们会登录并尝试转出资金，而不是坐等。如果他们获得了在线购物帐户的访问权限，他们将登录并尝试使用您保存的信用卡信息订购产品。如果他们能够访问你的电子邮件，他们很可能会利用它进行垃圾邮件和网络钓鱼，或者试图用它重置其他网站上的密码。如果他们能访问你的Facebook帐户，他们很可能会立即向你的朋友发送垃圾邮件或进行诈骗。

相关报道：谁在**这些恶意软件？为什么？

典型的攻击者不会长时间持有你的密码并窥探你。这是无利可图的-攻击者只是在追求利润。如果有人进入你的账户，你会注意到的。

如果你在任何地方都使用相同的密码，那么定期更改密码也很重要，因为当你使用的某个服务被泄露时，你的密码很可能会不断被泄露。与其定期更改单个密码，不如在这里处理真正的问题，并在任何地方使用唯一的密码。

当您确实要更改密码时

如果不是传统攻击者的人可以访问您的帐户，更改密码会有所帮助。例如，假设您与前任共享了Netflix登录凭据—您需要更改密码，这样他们就不能永远使用您的帐户。或者，假设你身边的某个人获得了你的电子邮件或Facebook密码，并使用你的密码监视你。当你更改密码时，你主要是在阻止这种帐户共享和窥探，而不是阻止世界另一端的人获得访问权限。

定期更改密码对于某些工作系统来说也很有价值，但是应该仔细考虑。IT管理员不应该强迫用户不断更改密码，除非有充分的理由——用户只会开始使用弱密码，写下密码，甚至在两个最喜欢的密码之间来回切换。

相关报道：Heartbleed解释：为什么你现在需要更改密码

当然，针对特定事件更改密码是一件好事。这是一个好主意，以改变你的网站上容易心碎的密码，但现在已经修补它。在网站的密码数据库被盗后更改密码也是一个好主意。

如果您正在为不同的网站重复使用密码，那么如果其中一个网站受到威胁，那么在所有这些网站上更改您的密码是一个好主意。但这是你能做的最糟糕的事情——这里真正的解决方案是使用唯一的密码，而不是在你使用的所有服务上不断地将你的共享密码更改为新密码。

关注有用的建议

相关：问如何极客：写下你的密码有什么问题？

建议人们定期更改密码的问题在于，这是一个让人分心的建议。如果不使用密码管理器为自己记住密码，那么在任何地方使用强大、唯一的密码几乎是不可能的。双因素身份验证也很有帮助，因为它可以防止您的帐户被访问，即使有人窃取您的密码。与其告诉人们定期更改密码，我们应该传递一些有用的建议，比如“在任何地方都使用唯一的密码”——这是大多数人目前不会做的事情。

这不是我们唯一不同意的建议。对于大多数家庭用户来说，写下一些密码其实不是一个坏主意——这肯定比到处重复使用相同的密码要好。

我们并不是唯一一个反对定期、不加区别地更改密码的人。安全专家Bruce Schneier曾写过为什么定期更改密码不是好建议，而微软的研究也得出结论，定期更改密码是浪费时间。是的，在某些情况下，你可能会想这样做，但将“每三个月更改一次密码”这样的建议传递给典型的计算机用户弊大于利。

图片来源：rochelle hartman在Flickr上，Lulu Hoeller在Flickr上，Joanna Poe在Flickr上，snoop**aus在Flickr上，medithIT在Flickr上