在新的 NIST 指南（美国国家标准与技术研究院）中，现在对密码管理的几个领域的指南进行了一些相当令人惊讶的逆转。根据Sophos 的 Naked Security 博客中的这篇文章，新指南不再推荐自动或定期密码老化；相反，文章说：

唯一应该重置密码的情况是当它们被遗忘时，如果它们被钓鱼，或者如果您认为（或知道）您的密码数据库已被盗，因此可能会受到离线暴力攻击。

按计划更改密码的唯一其他原因是遵守抗更改的过时策略，例如关于密码的 PCI DSS 要求：

8.2.4 至少每 90 天更改一次用户密码/密码。

这不是安全问题，而是合规问题。当面对一项本质上具有法律效力的法规时，不幸的是，合规性必须胜过安全性。

NIST 特别出版物 800-63b：数字认证指南

验证者不应要求任意更改记忆的秘密（例如，定期）。但是，如果有证据表明验证者受到威胁，验证者应强制进行更改。

NCSC官方指导：

NCSC 现在建议组织不要强制定期密码过期。我们相信这减少了与定期过期密码相关的漏洞（如上所述），同时几乎不会增加长期密码利用的风险。

问题不在于长时间保留密码，而在于创建新密码时引入的弱点。因此，如果您使用随机密码生成方法，您可以从定期刷新密码中获益。

但是没有官方指南说明创建最复杂密码的频率应该是多少，因为风险太低了。当您添加 2FA 时，风险会更低。

然后，您需要的指南基于您识别的风险。如果您认为您正在验证的服务以明文形式存储密码，经常被黑客入侵，并且存储对您至关重要的数据，那么无论官方指南怎么说，您可能希望经常更改密码。