这取决于您与客户的沟通方式。当注册过程被视为身份验证过程的一部分时，NIST 建议在注册过程中执行以下操作；我认为这相当于密码重置过程。另请注意，这些是最大值，您当然可以使用比这些更短的间隔。

4.4.1.6 地址确认

[ ... ]

e. 注册代码应具有以下最大有效期：

一世。10 天，当发送到美国境内的记录邮寄地址时；

ii. 30 天，当发送到美国本土以外的邮寄地址时；

iii. 10 分钟，当发送到记录电话（短信或语音）时；

iv. 24 小时，当发送到记录的电子邮件地址时。

https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-63a.pdf

尊敬的，您的问题缺少一些信息......

1. 为什么需要密码重置链接到期？

你知道这有什么好笑的吗？我刚从一家硅谷科技巨头开始。如果您选择更改密码，则必须获得批准。首先，我曾经这样工作过——其他所有组织都对密码策略非常敏感。这个地方可能是一天内被攻击公司的前 10 名，而且他们没有用户更改密码。

为什么？

其他技术和业务需求。

2. 那么......您的组织对密码链接到期的业务要求是什么？最终，你首先提出这个问题的刺激/激励因素是什么？

2a. 你做过风险分析吗？

这个问题有正确或错误的答案吗？我见过一些组织实施从 30 分钟到 24 小时的到期时间。谁能说一个比另一个做得更好。

今天在安全世界中完全失去的东西是在检查清单之前让大脑参与其中。因此，如果 NIST、DISA 或其他一些字母汤告诉你 24 小时是答案，你会盲目地遵循它吗？为什么？所以你可以吹嘘你是“符合 NIST 的”（不管那是什么意思）？

我试图让人们提出这些问题并进行此类讨论的原因是因为对手可以尽可能轻松地访问 nist.gov。当他们进行侦察时，他们已经对开始攻击时会发生什么有了一定的了解。