要求用户更改密码仍然是个好主意吗？

自从企业IT存在以来，用户就被要求定期更改密码。事实上，需要定期更改密码可能是所有IT最佳实践中最长期存在的一种。

然而，最近情况开始发生变化。微软改变了几十年来的最佳做法，不再建议企业要求用户定期更改密码。组织可能被迫第一次考虑是否需要定期的密码更改是一个好主意。

Microsoft密码重置建议

据微软称，要求用户频繁更改密码弊大于利。

众所周知，人类抗拒改变。当用户被迫更改密码时，他们通常会根据以前的密码生成新密码。例如，用户可能会在密码末尾追加一个数字，然后在每次需要密码时增加该数字。同样，如果需要每月更改密码，用户可能会在密码中加入月份名称，然后在每次需要更改密码时更改月份（例如，MyM@rchP@ssw0rd）。

更令人不安的是，研究已经证明，如果你知道用户以前的密码，通常可以猜出他们当前的密码。在其中一项研究中，研究人员发现，如果知道用户以前的密码，他们能够在三秒钟内猜出用户当前密码的41%。

虽然强制更改密码会导致问题，但不要求用户更改密码也会导致问题。目前，一个组织平均需要207天才能发现违规行为（Ponemon Institute，2020）。考虑到这一点，考虑如果用户不需要更改密码，需要多长时间才能识别出违规行为。

通过窃取密码进入系统的网络罪犯可能会无限期地逃避检测。

与其简单地放弃要求定期更改密码的做法，不如解决可能削弱组织安全性的根本问题。

与所需密码更改相关的最大问题是，频繁的密码过期会导致用户选择较弱的密码，或者在某种程度上与以前的密码相关的密码。避免此问题的一种方法是奖励用户选择强密码。

一些第三方密码管理工具，例如Specops password Policy，能够根据用户密码的长度和复杂性来重置用户的密码频率。因此，选择强密码的用户不必像选择弱密码的用户那样频繁地更改这些密码。

此外，企业应该寻找一种密码管理解决方案，使其能够阻止用户使用已知已被泄露的密码。泄露密码是经过哈希处理并添加到rainbow表或类似数据库中的密码，因此无论密码的复杂性如何，攻击者都极易破解密码。

虽然有一些第三方供应商维护基于云的已知被泄露密码列表，但重要的是要了解，微软的全球禁止密码列表不是泄露密码列表，也不符合密码拒绝列表的合规性建议。

第二个问题通常归因于密码更改要求，即被迫频繁更改密码的用户更有可能忘记密码。这会导致账户被锁定，并致电帮助热线。避免此问题（并在过程中降低帮助台成本）的最佳方法是采用自助式密码重置解决方案，使用户能够以安全的方式重置自己的密码。

Going forward, those organizations who wish to require password changes may have little choice but to adopt a third-party password management solution. Microsoft is removing its password expiration policy settings from Windows, starting with version 1903.

尽管有相反的建议，但要求用户定期更改密码有安全优势。然而，关键是以一种不会无意中削弱组织安全性的方式实施这样的要求。通过Specops软件的密码解决方案，企业可以拦截超过20亿个被破解的密码。该解决方案可以帮助企业在频繁执行密码过期时保护密码。