实施此类策略的主要原因是与无/限制密码重用规则和密码到期配对，并通过连续更改密码足够长的时间来防止用户绕过重用限制，以便他们可以继续使用旧密码。

假设您有一个禁止重复使用最后 5 个密码的策略，但我想保留我的“p4ssw0rdverystronk”，我可以将其更改为“zxcvbn”、“qwerty”、“password1”、“sefa_pass”“idonthaveanymoreidea”并返回“ p4ssw0rdverystronk”在几分钟内。

正如 Sefa 在他们的回答中所说，这是为了防止密码轮换 -

如果密码被泄露，您希望用户更改它。

通常，您将要求用户不要重复使用与 pass n 密码相同的密码。

天真的用户会觉得这很烦人，并希望保留他们已经记住的密码。

聪明、天真的用户会更改他们的密码 n 次，以便他们可以回到他们的旧密码。

如果您设置了密码的最短使用期限（通常为 1 天左右），那么整个轮换将变得更加困难，而不仅仅是保留您的新密码。

因此，设置最低密码年龄比不这样做更安全，因为它可以让用户免于自己的幼稚。

至于您所说的“我知道我的新密码已泄露，但我只是更改了它。现在我被密码泄露了。”，您是对的-这是一个问题。在设计最低密码使用期限建议时，人们认为这比用户轮换回旧密码的风险要小。此外，如果用户知道他们当前的 PIN 被泄露，希望他们会联系管理员并执行强制重置。

另一个尚未提及的因素是，在某些系统中，没有单一的密码数据库，而是有多个数据库，它们并不总是同时在线。更改密码将导致新密码在一段时间内在整个系统中传播。虽然较新的系统不应该有问题确保发出多个请求最终会让每个持有最新密码的人保持不变，但一些旧系统存在问题，并且一些策略设置得非常保守，以确保在任何更改时都不会发出新的密码请求可能仍在“飞行中”。