强制员工每月更改笔记本电脑密码似乎是一个可靠的安全措施,但这是一项经常适得其反的政策——无论是在实际结果还是人类行为方面。以下是反对它的理由,基于理性、证据和一些常识。
频繁更改密码的痛点
首先,频繁更改密码不一定会使系统更安全。北卡罗来纳大学 2016 年的一项研究发现,每 30 天更改一次的密码通常是旧密码的可预测变体——比如"P@ssw0rd1"变成"P@ssw0rd2"。为什么?因为人们在每月记住新内容的压力下,倾向于简单和模式。该研究分析了大学系统中的 10,000 个过期密码,显示由于这些可预测的变化,41% 的密码可以在三秒内被破解。
其次,它惹恼员工并降低生产力。微软的安全团队在 2019 年取消了强制密码过期,因为得出结论认为它"没有提供真正的安全好处",同时给用户带来负担。想想看:每个月,员工停下手头的工作,重置密码,忘记它,然后麻烦 IT 解锁他们的账户。Beyond Identity 2021 年的一项调查发现,67% 的员工重置密码是因为忘记了,而不是因为泄露。这是浪费时间——在整个公司范围内乘以它,你就在一个不能明显阻止黑客的仪式上浪费了数小时。
第三,它促使人们养成更糟糕的习惯。美国国家标准与技术研究院(NIST)更新了其指南(SP 800-63B),建议不要强制过期,除非有证据表明存在妥协。为什么?当你让员工不断地处理新密码时,他们会把它们写下来——在便利贴上、在手机笔记中,无论哪里。2019 年谷歌的一项调查发现,13% 的用户仍然在纸上涂写密码。其他人在多个网站上重复使用相同的密码,这比长期保持一个强大、独特的密码风险要大得多。
多因素身份验证作为替代方案
替代方案是什么?专注于有效的方法:长而独特的密码短语(想想"BlueHorseBatteryStaple"),不需要不断刷新,配合多因素身份验证(MFA)。微软的数据显示,MFA 阻止了 99.9% 的账户妥协尝试,使每月重置的影响相形见绌。2023 年 Verizon 数据泄露调查报告将 81% 的泄露归咎于弱密码或被盗凭据——如果使用 MFA,每月更改都无法修复这些问题。
关键是什么?即使监管机构也在注意到这一点。英国国家网络安全中心(NCSC)建议不要例行过期,称其为"浪费精力",让用户感到沮丧而不会减慢攻击者的速度。像英特尔这样的公司也放弃了它,他们的 CISO 报告说,在 2020 年放弃该政策后,事件没有增加。
因此,强制每月更改密码是一个遗物——植根于过时的逻辑,而不是数据。它让员工痛苦,浪费时间,并且不能阻止泄露。放弃它,依靠 MFA 和强密码短语,让人们回到工作中。安全应该是聪明的,而不仅仅是严格的。