在密码的设置上，我们经常采用多种安全保护模式，即为增加密码长度、使用复杂的语法以及特殊字符等等，这对增强密码的安全性确实起到了很大的作用，这些方法却要让你时隔3个月就要在更新一次新密码，但又看不到什么明显好处。

　　但是那些骇客们通常会用四种基本的方法得到你的密码：

　　(1)直接询问，所谓的"钓鱼"和"社会工程学"的攻击仍然在进行，并且一直有效(现在应该是人肉搜索吧)

　　(2)试着用字库来匹配提示框，希望碰到好运气

　　(3)获取加密之后的密码或哈希码，反过来进行解密

　　(4)使用keylogger等恶意软件在你在电脑中输入时获取密码

　　这四种情况不会因为你每隔90天更改了一次密码就从你身边走开。如果坏人们无法在几天内攻破哈希码(3)，他很可能去寻找更容易的攻击目标。攻击(1)也是速战速决型，坏人们通常只使用前几百个单词，如果无效的话马上就会转向其他更容易的猎物。如果(2)或(3)攻击成功，或者攻击者通过更简单的(1)或(4)获知密码，那么他们平均只需要45天就足以把你的银行帐户弄得一干二净，或者把你的电子邮件地址变成发送垃圾邮件的据点。

　　在过去25年左右的时间里，密码过期的概念没有什么变化。信息安全技术人员、审计人员、PCI、ISO27002和COBIT等等的要求都保持不变，但威胁已经改变了不少。通常，密码脆弱的用户只会用另一个脆弱的密码来替代。而强迫一个密码强度已经很高的用户更改密码最终反而会惹恼他而使用简单的密码。

　　那么90天的密码更改周期到底有什么意义呢?有一个实际的好处。那就是如果有人有你的密码而他们想做的一切只是偷偷的阅读你的电子邮件，那么你改变密码可以阻止他们永远这样做下去。定期更改密码并不能抵御那些想要窃取你的机密的恶意攻击者，但它确实能让你摆脱那些偷偷摸摸的潜入者或窥探者。没错，这是好的。但是，这点好处是否值得去强迫用户去不嫌麻烦的每90天更改一次密码呢，答案是肯定的。防患于未然，才是安全的真谛。

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。