您應該定期更改密碼嗎?

已發表: 2022-01-29

“定期更改密碼”是常見的密碼建議,但不一定是好的建議。 您不必費心定期更改大多數密碼 - 它會鼓勵您使用較弱的密碼並浪費您的時間。

是的,在某些情況下,您需要定期更改密碼。 但這些可能是例外而不是規則。 告訴典型的計算機用戶他們需要定期更改密碼是錯誤的。

定期密碼更改理論

從理論上講,定期更改密碼是一個好主意,因為它們可以確保有人無法獲取您的密碼並在很長一段時間內使用它來窺探您。

例如,如果有人獲得了您的電子郵件密碼,他們可以定期登錄您的電子郵件帳戶並監控您的通信。 如果有人獲得了您的網上銀行密碼,他們可能會窺探您的交易或在幾個月後回來並嘗試將資金轉入他們自己的賬戶。 如果有人獲得了您的 Facebook 密碼,他們可以以您的身份登錄並監控您的私人通信。

從理論上講,定期(可能每隔幾個月)更改密碼將有助於防止這種情況發生。 即使有人確實獲得了您的密碼,他們也只有幾個月的時間將其訪問權限用於邪惡目的。

缺點

不應在真空中考慮更改密碼。 如果人類有無限的時間和完美的記憶力,那麼定期更改密碼將是一個好主意。 實際上,更改密碼會給人們帶來負擔。

廣告

定期更改密碼會使記住好的密碼變得更加困難。 您必須嘗試每隔幾個月記住一個新密碼,而不是創建一個強密碼並將其記憶。 被計算機系統強制定期更改密碼的用戶最終可能會附加一個數字——因此他們可能會使用密碼 1、密碼 2 等等。

定期更改單個帳戶的密碼並每次都記住您的新密碼已經很困難了。 但是我們都有很多密碼——想像一下必須定期更改密碼並不斷記住大量服務的唯一、強密碼。

相關:為什麼你應該使用密碼管理器,以及如何開始

基本上不可能為每個網站選擇強大、唯一的密碼並記住它們——這就是我們建議使用 LastPass 或 KeePass 等密碼管理器的原因。 如果您每隔幾個月更改一次密碼,您最終可能會使用較弱的密碼並在多個網站上重複使用它們。 在任何地方使用強而獨特的密碼比定期更改密碼重要得多。

為什麼更改密碼不一定有幫助

定期更改密碼不會像您想像的那樣有幫助。 如果攻擊者獲得對您帳戶的訪問權限,他們很可能會立即使用他們的訪問權限造成損害。 如果他們可以訪問您的網上銀行賬戶,他們會登錄並嘗試將資金轉出,而不是坐等。 如果他們可以訪問在線購物帳戶,他們將登錄並嘗試使用您保存的信用卡信息訂購產品。 如果他們可以訪問您的電子郵件,他們很可能會將其用於垃圾郵件和網絡釣魚,或嘗試使用它在其他網站上重置密碼。 如果他們訪問您的 Facebook 帳戶,他們可能會立即嘗試發送垃圾郵件或欺騙您的朋友。

相關:誰在製造所有這些惡意軟件——為什麼?

典型的攻擊者不會長時間保留您的密碼並窺探您。 那是無利可圖的——攻擊者只是在追逐利潤。 您會注意到是否有人可以訪問您的帳戶。

廣告

如果您在任何地方都使用相同的密碼,定期更改密碼也很重要,因為當您使用的其中一項服務遭到破壞時,您的密碼很可能會不斷洩露。 與其定期更改單個密碼,不如解決真正的問題,並在任何地方使用唯一密碼。

當您確實想更改密碼時

如果不是傳統攻擊者的人有權訪問您的帳戶,則更改密碼會有所幫助。 例如,假設您與前任共享了您的 Netflix 登錄憑據——您需要更改密碼,這樣他們就無法永遠使用您的帳戶。 或者,假設您身邊的某個人獲得了您的電子郵件或 Facebook 密碼並使用您的密碼監視您。 當您更改密碼時,您主要是在阻止這種帳戶共享和窺探,而不是阻止世界另一端的某人獲得訪問權限。

定期更改密碼對某些工作系統也很有價值,但應慎重使用。 IT 管理員不應強迫用戶不斷更改密碼,除非有充分的理由——用戶只會開始使用弱密碼、寫下密碼,甚至在兩個最喜歡的密碼之間來回切換。

相關: Heartbleed 解釋:為什麼現在需要更改密碼

當然,響應特定事件更改密碼是一件好事。 在易受 Heartbleed 攻擊但現已修補的網站上更改密碼是個好主意。 在網站的密碼數據庫被盜後更改密碼也是一個好主意。

如果您正在為不同的網站重複使用密碼,那麼如果其中一個網站遭到入侵,那麼在所有這些網站上更改您的密碼是一個好主意。 但這是你能做的最糟糕的事情——真正的解決方案是使用唯一的密碼,而不是在你使用的所有服務上不斷地將共享密碼更改為新密碼。

專注於有用的建議

相關:詢問 How-To Geek:寫下密碼有什麼問題?

建議人們定期更改密碼的問題在於它會讓人分心。 如果您不使用密碼管理器為您記住它們,那麼在任何地方使用強大、唯一的密碼幾乎是不可能的建議。 雙重身份驗證也很有幫助,因為即使有人竊取了您的密碼,它也可以防止您的帳戶被訪問。 與其告訴人們定期更改密碼,不如傳遞有用的建議,例如“在任何地方使用唯一密碼”——這是大多數人目前不這樣做的。

廣告

這不是我們不同意的唯一建議。 對於大多數家庭用戶來說,寫下一些密碼實際上並不是一個壞主意——這絕對比在任何地方重複使用相同的密碼要好。

我們不是唯一建議不要定期、不加選擇地更改密碼的人。 安全專家布魯斯·施奈爾 (Bruce Schneier) 寫過為什麼定期更改密碼不是一個好的建議,而微軟研究院也得出結論,定期更改密碼是浪費時間。 是的,在某些情況下您可能想要這樣做——但是向典型的計算機用戶傳遞“每三個月更改一次密碼”之類的建議弊大於利。

圖片來源:Flickr 上的 rochelle hartman,Flickr 上的 Lulu Hoeller,Flickr 上的 Joanna Poe,Flickr 上的 snoopsmaus,Flickr 上的 medithIT