存在密码过期策略的原因是为了减轻攻击者获取系统的密码哈希并破坏它们时可能出现的问题。这些策略还有助于最大限度地降低与将旧备份丢失给攻击者相关的一些风险。

例如，如果攻击者闯入并获取您的影子密码文件，他们就可以开始暴力破解密码，而无需进一步访问系统。一旦他们知道您的密码，他们就可以访问系统并安装他们想要的任何后门，除非您碰巧在攻击者获取影子密码文件和他们能够暴力破解密码哈希之间更改了密码。如果密码散列算法足够安全，可以将攻击者阻止 90 天，则密码过期可确保攻击者不会从影子密码文件中获得任何进一步的价值，除了已经获得的用户帐户列表。

虽然有能力的管理员会保护实际的影子密码文件，但整个组织往往对备份更加松懈，尤其是较旧的备份。当然，理想情况下，每个人都会像对待生产数据一样小心使用 6 个月前备份的磁带。但实际上，一些较旧的磁带不可避免地会在大型组织中被放错地方、错误归档或丢失。密码过期策略限制了旧备份丢失时造成的损害，原因与它减轻了来自实时系统的密码哈希的危害相同。如果您丢失了 6 个月前的备份，您正在加密敏感信息，并且自备份以来所有密码都已过期，您可能除了用户帐户列表之外没有丢失任何内容。

我之前曾争论过它并没有改善任何东西。从那个帖子：

显然，攻击者事先并不知道您的密码，否则攻击不会是蛮力的；所以猜测与您的密码无关。您不知道攻击者拥有、尚未或将要测试什么——您所知道的只是攻击者将在足够的时间内耗尽所有可能的猜测。因此，您的密码与猜测分布无关。

您的密码和攻击者对您密码的猜测是独立的。即使您先更改密码，攻击者下一次猜测正确的概率也是相同的。密码过期策略不可能减轻暴力攻击。

那么为什么我们要强制执行密码过期策略呢？实际上，这是一个非常好的问题。假设攻击者确实获得了您的密码。

利用这种情况的机会窗口取决于密码的有效时间，对吧？错误：一旦攻击者获得密码，他就可以安装后门、创建另一个帐户或采取其他措施来确保继续访问。事后更改密码将击败思维不正确的攻击者，但最终应该启动更全面的响应。

所以密码过期政策会惹恼我们的用户，并且不会帮助任何人。

在回答它是否有帮助之前，看看具体的场景是有意义的。（在处理安全测量时，这通常是一个好主意。）

在什么情况下强制更改密码可以减轻影响？

攻击者知道用户的密码但没有后门。他不想被发现，所以他没有自己更改密码。

让我们看看这种情况是否可能发生：

他怎么会知道密码？

• 受害者可能告诉了他（例如，一个新实习生应该在他自己的帐户设置之前开始工作，另一个应该在网络游戏中调整帐户的人
• 攻击者可能已经看到了键盘
• 攻击者可能已经访问了另一个密码数据库，其中用户使用了相同的密码
• 使用攻击者拥有（准备）的计算机进行一次性登录。

是什么阻止了他设置后门？

• 有问题的服务可能无法为后门提供途径，例如电子邮件收件箱或常见的 Web 应用程序
• 用户的权限可能没有足够的权限安装后门
• 攻击者可能会错过所需的知识（在在线游戏司汤达中，大多数“黑客”都是由愤怒的兄弟姐妹完成的，他们只想破坏一些玩具）
• 攻击者可能还没有变坏。（例如下个月将被解雇但目前不怀疑任何事情的员工）。

为什么不使用强制密码过期？

这对用户来说可能非常烦人，导致他们只在最后添加一个计数器。这可能会降低密码的熵。根据我的经验，它会产生额外的支持成本，因为人们比平时更容易忘记新密码。我猜这是由于更改密码提示让他们在忙于思考其他事情时措手不及。

总结

它远非万灵药，它对可用性有负面影响，但平衡它与类似于我上面描述的场景的可能性和影响是有意义的。

微软的一项研究得出结论，密码过期策略不会增加现实生活场景中的安全性。

这些文章已被删除，但可在 Internet 档案中找到：

• 请不要更改您的密码
• 研究：频繁更改密码无用

原文：这么久了，不感谢外部性：用户对安全建议的理性拒绝