什麼是密碼輪換以及如何正確執行？

我們已經討論了創建良好的密碼策略有多困難。問題的部分原因在於這不是一項“一勞永逸”的任務。公司必須不斷適應在線威脅形勢的變化，並應根據最新趨勢和變化來修改其密碼策略。這是現實發生的嗎？

好吧，在2016年，美國政府下屬的非監管機構國家標準技術研究院（NIST）建議公司不要每隔幾個月就強迫員工更改密碼。這與企業先前所建議的完全相反，但是NIST說，有充分的證據表明強制性密碼更改正在對人們的在線安全產生不利影響。許多專家讚揚NIST的建議並繼續提供支持，但是儘管如此，即使到現在，也就是接近四年後的今天，一些組織仍在強迫其員工定期更改其密碼。

頻繁更改密碼會導緻密碼輪換

強迫人們頻繁更改密碼的主要問題是，您對他們施加的壓力導致錯誤，可能會對其在線安全造成嚴重後果。大家都知道創建一個強密碼是多麼困難，並且只能想像如果需要定期進行密碼設置會多麼困難。

因為這是一個負擔，所以需要更改密碼的人們經常選擇省去麻煩，並對現有密碼進行簡單的修改（例如，將“ password1”替換為“ password2”）。人們採用的另一種策略是創建一個由三個或四個密碼組成的有限列表，並定期輪換使用。

安全專家可以列出密碼輪換是個壞主意的多種原因。用戶通常嘗試記住三個或四個密碼，因此，憑據不是很安全。另一個問題來自這樣的事實：密碼不時地變得有效。從理論上講，如果黑客擁有您旋轉的密碼之一，則他們可以定期對您的帳戶進行測試，最終，他們將獲得正確的時機並成功破解。

防止定期更改密碼的總體原因是網絡犯罪分子在試圖破壞您的帳戶之前不會等待您更改密碼，但是在密碼輪換方案中切換憑據的重複性使得選擇密碼的人可以選擇這個策略特別脆弱。不幸的是，正如我們已經提到的，有時其他選擇是有限的。

如果只有密碼輪換是怎麼辦？

一些組織仍會強制執行常規的密碼更改，這意味著密碼輪換非常活躍。更糟糕的是，有些公司不允許使用密碼管理器，這可以消除完全旋轉密碼的需要。

如果除了輪換密碼列表外別無選擇，則至少可以嘗試盡可能降低風險。使用各種各樣的字符，並使密碼看起來盡可能隨機。通過創建大量密碼，您進一步限制了成功破解的機會，但是您必須確保它們彼此之間有本質上的不同。最後但並非最不重要的一點是，與負責在您公司中創建密碼策略的負責人聯繫，並告訴他們有關安全框架的想法已過時。