90 天足以从被盗凭据中获利（无论它们有多强大）。此外，大多数密码在更改时只会有一两位数字的变化，因此即使密码超过 90 天，攻击者也可以相当容易地猜出新密码。

如果您的密码很强大（由密码管理器随机生成）并且仍然无法泄漏并落入攻击者手中，那么解决方案是修复泄漏源，而不是盲目地更新密码。更改密码不会阻止新密码以同样的方式泄露。防止密码猜测尝试并尝试检测异常身份验证会更明智。使用适当的 2FA 还可以更好地减少密码泄露。

同时，该策略促使用户使密码更容易记住，从而更容易被攻击者猜到。总而言之，强制更新密码的策略会削弱密码保护提供的整体安全性。这就是微软计划从2019 年 5 月更新开始从 Windows 10 中删除此策略的原因。NIST 还建议不要将其用于需要记住的密码。

是的，每 90 天更改一次密码仍然有好处。强制定期更改可以防止未经授权使用密码或限制未经授权使用的持续时间。有更好的替代方法来实现这些相同的目标（例如检测异常使用、基于风险的身份验证等），但您没有要求将密码过期与这些替代方法进行比较。

使用随机生成的强密码确实降低了密码滥用的风险，因为相关帐户不太可能因密码猜测、凭证填充或密码破解攻击而遭到破坏。但是，攻击者仍有其他途径获取用户密码，包括恶意软件、身份验证服务器泄露、密码管理器漏洞或用户故意与他人共享密码。密码的强度和唯一性并不能防止这些攻击。A. Hersean 说要专注于修复这些漏洞，这是个好建议，但说起来容易做起来难。

如果攻击者确实泄露了用户密码，如果有过期策略，他们将有有限的时间使用该密码。在这个机会窗口期间，他们可能能够完成他们想要的任何恶意操作，或者他们可能能够升级他们的攻击并创建一个持续的后门来进行不依赖于原始用户密码的访问。这些情况并没有真正从密码过期中受益。但在其他情况下，攻击者无法升级攻击，需要继续使用密码来维持访问权限。这些是密​​码过期有帮助的情况。

难以量化的是这些情况有多罕见，以及在这些情况中有多少密码过期会阻止或减少攻击的持续时间。因此，它变成了一个粗略的成本效益分析，您需要了解维护密码过期策略的成本。如果您可以完全自动化定期密码更新（一些密码管理器可能使这成为可能）并且它对用户是透明的，那么它似乎提供了价值，即使好处很少。如果您不能自动更改密码，那么它可能无法提供足够的好处来证明用户的时间成本是合理的。在这种情况下，我将专注于密码过期的替代方法，以帮助检测和防止密码泄露。

此外，如果您可以完全自动化定期密码更改，您应该考虑强制执行比每 90 天更频繁的更改。这应该通过进一步降低密码泄露的风险来增加到期的好处。