你知道他们不妥协吗？如果您绝对确定，则没有真正需要更改。显然，如果他们受到损害，那就继续改变。如果你不知道，那么它变得更有趣。

这是更改密码的主要目的，以防万一密码被泄露而您还不知道。因此，整个 90 天的密码更改策略通常是基于风险的折衷，介于密码被泄露的可能性与更改和重新记住密码的烦人程度（或者在密码管理器的情况下，更新并开始使用）之间。

当然类似于问题如何每 90 天更改一次密码可以提高安全性？

对于我对这个问题的回答，请到这里。

要回答您的问题，定期更改密码的原因包括：

• 如果自您上次更改密码以来，您的密码熵允许它被破解，因为攻击者可能已经获得了您不知道的密码哈希。有关破解时间的粗略指南，请参见此处。对于平均值，将结果除以二。例如，具有 65 位熵的密码平均需要 1.7 年才能破解。当然请记住，有足够时间和资源来执行此操作的攻击者可能很少见，除非他们对您的帐户特别感兴趣，而您的帐户对他们来说非常有价值，或者密码是未加盐存储的。
• 如果您可能在任何时候不小心泄露了密码（例如，将其输入到您的计算机中，光标聚焦在另一个窗口上）。
• 有人可能正在监视您的按键操作并拥有足够的信息来统计确定您的密码（例如，通过摄像头、键盘发出的声音，或通过某种方式确定键盘的磨损情况）。当然，这些不适用于自动填充且从不输入的密码。
• 如果攻击者可以在您的密码被短暂显示的情况下查看您的屏幕，则允许他们降低有效熵，因为他们会知道他们所在位置的任何记忆字符。
• 该网站最近增加了他们的 bcrypt 迭代或密码算法，它需要更改密码才能在他们的数据库中更新。

定期更改密码的主要原因是所有密码最终都会被泄露，无论是通过暴力攻击、盗窃、意外还是故意泄露。一旦泄露，密码的所有过去和未来使用都会受到影响。

假设你有一个密码需要 1000 年才能破解。坏人一年部署1000台电脑，破解你的密码。他们现在可以访问您曾经加密或将要加密的所有内容。如果您每年更改一次密码，他们只能使用 1 年的时间。