强制性密码更改仍然有效吗？

Password123! 在90年代末到2000年代初，Password123! 已经足够强大，能够防止他人登录你的设备。但在当今世界，密码必须满足特定要求：长度需为八个字符或以上，包含大写字母、数字和特殊符号。有些还要求新密码不能与最近的几个密码重复。（来源：HPE）

随着新威胁的出现，数据安全不断演进，之前的安全措施变得毫无价值。我们熟知的长期网络安全措施是强制密码更改。我们通常每90天会收到一次提示，提醒我们该更改密码了。

然而，最新研究表明，这种强制每90天更换一次密码的做法已不如往昔有效。90天的强制密码更改导致人们设置更弱的密码，因为记住复杂密码相当困难，尤其是当你每天需要输入多次时。人们倾向于使用易记的密码，并在多个账户中重复使用这些密码。

当需要更改密码时，你会重复使用之前的密码并对字符进行更改，例如将 S to $. 一旦入侵者获取到你的旧密码，他们就能轻易破解这些密码更改模式。

早在2010年就已有关于此主题的研究发表，联邦贸易委员会也已发布官方声明。FTC提醒公司，强制密码更新政策仍能提供对网络攻击的防护。但公司应根据其特定领域采用更新且更好的安全措施。（来源：FTC）

何时更改密码

根据 CyLab 安全与隐私研究所安全与隐私技术部主任 Lorrie Cranor 的说法，密码更改的频率并不像我们想象的那样高。我们可以长期使用密码，但在遇到以下情形时应立即更改：

根据贵公司的密码策略，你可能已经看到多个密码要求。但你也可以遵循以下简单技巧来创建强密码。

避免在密码中加入你的姓名、生日或任何公开可得的个人信息。

密码长度应为六个字符或以上。字符应包含字母数字组合，并尽可能加入特殊符号。

在可能的情况下，为不同账户使用不同密码。

有多种密码随机生成工具可供使用。你可以考虑完全使用随机密码。（来源：GCF Global）