您应该定期更改密码吗?

已发表: 2022-01-29

“定期更改密码”是常见的密码建议,但不一定是好的建议。 您不必费心定期更改大多数密码 - 它会鼓励您使用较弱的密码并浪费您的时间。

是的,在某些情况下,您需要定期更改密码。 但这些可能是例外而不是规则。 告诉典型的计算机用户他们需要定期更改密码是错误的。

定期密码更改理论

从理论上讲,定期更改密码是一个好主意,因为它们可以确保有人无法获取您的密码并在很长一段时间内使用它来窥探您。

例如,如果有人获得了您的电子邮件密码,他们可以定期登录您的电子邮件帐户并监控您的通信。 如果有人获得了您的网上银行密码,他们可能会窥探您的交易或在几个月后回来并尝试将资金转入他们自己的账户。 如果有人获得了您的 Facebook 密码,他们可以以您的身份登录并监控您的私人通信。

从理论上讲,定期(可能每隔几个月)更改密码将有助于防止这种情况发生。 即使有人确实获得了您的密码,他们也只有几个月的时间将其访问权限用于邪恶目的。

缺点

不应在真空中考虑更改密码。 如果人类有无限的时间和完美的记忆力,那么定期更改密码将是一个好主意。 实际上,更改密码会给人们带来负担。

广告

定期更改密码会使记住好的密码变得更加困难。 您必须尝试每隔几个月记住一个新密码,而不是创建一个强密码并将其记忆。 被计算机系统强制定期更改密码的用户最终可能会附加一个数字——因此他们可能会使用密码 1、密码 2 等等。

定期更改单个帐户的密码并每次都记住您的新密码已经很困难了。 但我们都有很多密码——想象一下,必须定期更改密码并不断记住大量服务的唯一、强密码。

相关:为什么你应该使用密码管理器,以及如何开始

基本上不可能为每个网站选择强大、唯一的密码并记住它们——这就是为什么我们建议使用 LastPass 或 KeePass 这样的密码管理器。 如果您每隔几个月更改一次密码,您最终可能会使用较弱的密码并在多个网站上重复使用它们。 在任何地方使用强而独特的密码比定期更改密码重要得多。

为什么更改密码不一定有帮助

定期更改密码不会像您想象的那样有帮助。 如果攻击者获得对您帐户的访问权限,他们很可能会立即使用他们的访问权限造成损害。 如果他们可以访问您的网上银行账户,他们会登录并尝试将资金转出,而不是坐等。 如果他们可以访问在线购物帐户,他们将登录并尝试使用您保存的信用卡信息订购产品。 如果他们可以访问您的电子邮件,他们很可能会将其用于垃圾邮件和网络钓鱼,或尝试使用它在其他网站上重置密码。 如果他们访问您的 Facebook 帐户,他们可能会立即尝试发送垃圾邮件或欺骗您的朋友。

相关:谁在制造所有这些恶意软件——为什么?

典型的攻击者不会长时间保留您的密码并窥探您。 那是无利可图的——攻击者只是在追逐利润。 您会注意到是否有人可以访问您的帐户。

广告

如果您在任何地方都使用相同的密码,则定期更改密码也很重要,因为当您使用的其中一项服务遭到破坏时,您的密码可能会不断泄露。 与其定期更改单个密码,不如解决真正的问题,并在任何地方使用唯一密码。

当您确实想更改密码时

如果不是传统攻击者的人有权访问您的帐户,则更改密码会有所帮助。 例如,假设您与前任共享了您的 Netflix 登录凭据——您需要更改密码,这样他们就无法永远使用您的帐户。 或者,假设您身边的某个人获得了您的电子邮件或 Facebook 密码并使用您的密码监视您。 当您更改密码时,您主要是在阻止这种帐户共享和窥探,而不是阻止世界另一端的某人获得访问权限。

定期更改密码对某些工作系统也很有价值,但应慎重使用。 IT 管理员不应强迫用户不断更改密码,除非有充分的理由——用户只会开始使用弱密码、写下密码,甚至在两个最喜欢的密​​码之间来回切换。

相关: Heartbleed 解释:为什么现在需要更改密码

当然,响应特定事件更改密码是一件好事。 在易受 Heartbleed 攻击但现已修补的网站上更改密码是个好主意。 在网站的密码数据库被盗后更改密码也是一个好主意。

如果您正在为不同的网站重复使用密码,那么如果其中一个网站遭到入侵,那么在所有这些网站上更改您的密码是一个好主意。 但这是您能做的最糟糕的事情——真正的解决方案是使用唯一密码,而不是在您使用的所有服务上不断将您的共享密码更改为新密码。

专注于有用的建议

相关:询问 How-To Geek:写下密码有什么问题?

建议人们定期更改密码的问题在于它会让人分心。 如果您不使用密码管理器为您记住它们,那么在任何地方使用强大、唯一的密码几乎是不可能的建议。 双重身份验证也很有帮助,因为即使有人窃取了您的密码,它也可以防止您的帐户被访问。 与其告诉人们定期更改密码,不如传递有用的建议,例如“在任何地方使用唯一密码”——这是大多数人目前不这样做的。

广告

这不是我们不同意的唯一建议。 对于大多数家庭用户来说,写下一些密码实际上并不是一个坏主意——这绝对比在任何地方重复使用相同的密码要好。

我们不是唯一建议不要定期、不加选择地更改密码的人。 安全专家 Bruce Schneier 写过为什么定期更改密码不是一个好的建议,而微软研究院也得出结论,定期更改密码是浪费时间。 是的,在某些情况下您可能想要这样做——但是向典型的计算机用户传递“每三个月更改一次密码”之类的建议弊大于利。

图片来源:Flickr 上的 rochelle hartman,Flickr 上的 Lulu Hoeller,Flickr 上的 Joanna Poe,Flickr 上的 snoopsmaus,Flickr 上的 medithIT