是否有任何研究支持或反对频繁更改密码？

Question

我正在寻找关于频繁更改密码的安全性影响的研究，查看每两个月或类似时间更改强制密码所带来的安全性好处/问题。

有谁知道吗？

Answer 1

Here是一篇关于密码策略的研究文章。它提到了人们应该更改密码的频率和其他一些非常有趣的东西。以下是摘录。

  有些专家说这是定期的   密码更改会减少   如果攻击者拦截了攻击，则会造成伤害   密码：一旦密码是   改变了，攻击者被锁定了。   这假设已经恢复了   密码不会给攻击者   关于受害者当前的任何提示   密码。实际上，定期密码   变化倾向于鼓励人们   设计密码序列，如   secret01a，secret01b，secret01c和   等等。

     

这使用户可以轻松选择和   记得旧密码时的新密码   一个到期。这样的序列是   通常对攻击者来说非常明显，   所以任何一个受害者的老人   密码可能会提供   攻击者相当小   猜测的密码数量。

Answer 2

TechReport Do Strong Web Passwords Accomplish Anything?声明“正在改变 只有当攻击者利用收获的凭据时，密码才会非常有用。“

Answer 3

在我看来，迫使人们经常更改密码会降低安全性，因为人们记住这么多密码的唯一方法就是开始使用愚蠢的密码，如Computer123或January1，然后是February1等...

更好的想法是降低频率，然后培训人们如何创建强密码。

Answer 4

虽然不是完全您正在寻找的研究，但它密切相关，可能会推动您朝着正确的方向前进。我已经看过一些你正在寻找的特定主题的研究，但还没有找到参考文献。

Microsoft Security Guru advice: "Write down your password"

密码可能会发生许多不好的事情，并希望在不产生新问题的情况下尽可能减少密码。通过限制攻击者的机会窗口，“更改密码”策略可以减轻密码泄露可能导致的损害。虽然不是最终的所有安全措施，但它有时会产生巨大的差异。作为一名安全顾问，我亲自（仅今年）花了数万美元来清理可能已经完全避免的混乱，如果公司至少每年更换一次重要密码的话。

经常更改密码的危险在于您会选择不良密码。这使情况变得更糟，因为它现在允许本来不可能的攻击。<​​/ p>

链接文章中提到的新智慧是挑选（或被分配）随机密码，可能会定期更改，并将其写在您保持安全的地方。显然你不要把它留在你的电脑上，而不是把钥匙留给你的车。理由是人们已经接受过培训，知道如何保护“事物”，但在保护信息方面自然很差。因此，如果您将密码转换为可以保存的密码，那么您可以像保护密钥一样保护密码。在实践中，这非常有效，但它往往会让IT部门感到紧张。

Answer 5

我不知道有任何研究存在，但为了让您考虑问题的两个方面，这里有一篇反对强制更改密码的文章：

Managing network security — Part 10: Change your password

一个教育机构的教学网站，至少有一个令人信服的案例（由博士撰写），强迫用户经常更改密码。这些是网站在链接到页面后强制更改密码的主要参数：

"Why Do I Have to Change My !@$%#* Password?"

• 如果您需要更改您的 密码至少每六个月一次， 有人破解了你的密码 并一直在访问您的帐户 在你不知情的情况下 一旦你的话立即被拒之门外 密码已更改。有些人可能会想 这是一种不常见的情况，但是 人们通常会卖旧电脑 并忘记删除他们的密码 可能已保存用于拨入或用于 访问他们的电子邮件。
• 如果您至少更改密码 每六个月，可能是黑客 试图破解你的密码 蛮力（如上所述） 基本上需要重新开始，因为 您的密码现在可能已经存在 改变了他们的某种模式 已经尝试过并拒绝了。
• 也强制更改密码 不鼓励用户使用相同的 多个帐户的密码。 （使用 多个密码相同 帐户很糟糕，因为那时你的 密码只有安全 最不安全的系统共享 那个普通的密码，如果你的 帐户确实受到了损害，这很糟糕 家伙突然有机会接触到 一个帐户，但多个帐户 帐户，扩大了范围 问题）。

就“研究”而言，这些可能并没有削减它，但似乎至少是对论证双方的一个很好的介绍。

Answer 6

这不是一项研究，但Gene Spafford发表了一篇简短的文章，讨论了为什么频繁更改密码政策没有多大意义的原因：

• http://www.cerias.purdue.edu/site/blog/post/password-change-myths/

Answer 7

2016年8月更新：

这篇文章：＆＃34;频繁的密码更改是安全的敌人，FTC技术专家说＆＃34; http://arstechnica.com/security/2016/08/frequent-password-changes-are-the-enemy-of-security-ftc-technologist-says/?imm_mid=0e6947&cmp=em-webops-na-na-newsltr_security_20160809 本周到处都出现了，包括Bruce Scheier的博客，O＆＃39; Reilly的安全通讯，ArsTechnica，Slate和NewsCombinator，可能正是您之前要求的今年。

它引用： https://www.cs.unc.edu/~reiter/papers/2010/CCS.pdf

TL; DR摘要：停止过期/更改密码。这是一个非常糟糕的安全实践。

Answer 8

如果您认为自己的密码可能已经或可能很快遭到入侵，则应更改密码。否则，它通常是无用的浪费时间，实际上是一种安全隐患。看到这个链接：

http://old.news.yahoo.com/s/ytech_wguy/20100413/tc_ytech_wguy/ytech_wguy_tc1590

Answer 9

这是一篇发表于ACM出版物（2010年）的优秀论文，讨论了安全性和用户期望的成本效益分析。

http://research.microsoft.com/en-us/um/people/cormac/papers/2009/SoLongAndNoThanks.pdf

它确实声称更改密码当然是一个好建议，但它可能不值得用户花费，因为几乎没有证据支持我们更安全，更频繁更改密码的想法。这真的是一篇很好的文章。