蛮力攻击可以这样描述：攻击者尝试大量随机的潜在密码，直到找到正确的密码。强制用户更改密码，即从一个潜在密码更改为另一个，并不会显着降低攻击者的成功率（实际上，只有当可能的密码空间非常小以至于攻击者可以详尽地探索它时，它才会更改任何内容 - - 这意味着您有一个更大的问题，即您的用户选择了非常弱的密码）。密码更改以某种方式“恢复安全性”是一种普遍但错误的信念。

可能有意义的是禁用作为暴力攻击目标的帐户，许多失败的尝试表明。但是这种锁定功能可能适得其反：它允许任何人锁定其他人的帐户，这可能会变成一个很大的帮助台问题。

相应地，您无需更改您的手机提供商密码，因为它是旧的。如果密码很弱，请更改您的密码，但弱点不会随着时间的推移而增加；从第一天开始就在那里。

1. 当您的用户是人类时，强制定期更改密码并不一定会提高安全性。
   请参阅首席技术专家 Lorrie Cranor 撰写的 FTC 帖子 “是时候重新考虑强制密码更改”，该帖子基于对人类实际使用这些系统的研究。（华盛顿邮报的报道在这里。）
2. 当您是用户时，您应该比预期的平均密码更频繁地更改密码，因为密码被黑客入侵数据存储或任何其他人可能会获取您的密码的方法破坏了密码。如果您的密码是唯一的，这比您重复使用密码的时间更长（频率更低）（因为经常重复使用的密码可能会以多种方式被破坏）。如果您有任何特殊理由相信密码最近被泄露，那么这也是更改密码的好时机；否则，您将依赖自己对该访问控制安全性的估计。

我不得不不同意汤姆关于“没有必要更改您的密码，因为它是旧的......”。

就其本身而言，这是合理的，但是现实生活的语用学会干扰理论并使之不那么正确。由于我们经常被要求在许多不同的环境和地方输入我们的密码——其中一些我们并不总是能够控制，我认为制定良好的密码更改时间表是一项应该到位的政策，也是一项加强同行的政策.

有太多的可能性是 1 次在受感染的环境中输入密码并被捕获，或者（正如我经常看到的那样），给予管理员（出于暂时目的，但他们保留它）密码在某人旅行时完成一项任务……或其他类似的原因。如果没有生效的密码更改计划，您将无法重新确定与这些虚假和随机事件相关的风险。