安全措施不全部做就没有意义吗？

不是。与帕累托法则类似，安全领域中前 20% 的措施可以降低 80% 的风险。仅引入密码管理器和为主要账户设置两步验证就能覆盖普通用户面临的大部分风险。从效果最高的措施开始比追求完美而什么都不做更重要。

定期更改密码真的不需要吗？

NIST 和 Microsoft 已正式不推荐。当前最佳实践是用密码管理器管理足够长的随机密码，仅在确认泄露时更改。但如果收到泄露通知，请立即更改。

感到安全疲劳该怎么办？

首先，不要试图一次做完所有事。只集中在 Tier 1 的 3 个措施（密码管理器、主要账户的两步验证、自动更新），其他的可以推后。完美的安全不存在。持续维持 80 分的措施比追求 100 分而放弃要安全得多。

应对安全疲劳 - 对策疲劳的心理学与现实优先排序

本文约需 12 分钟阅读

每 90 天更改一次密码。在每个账户上启用两步验证。每个服务使用不同的密码。检查每封邮件是否有钓鱼。安全建议的清单无止境地增长，研究表明大多数人已经不再听从。NIST 在 2016 年发表了一项里程碑式的研究，将"安全疲劳"定义为一种可测量的现象 - 用户被安全要求压得喘不过气来，最终完全放弃。Dashlane 2024 年的调查发现，60% 的用户明知风险仍然重复使用密码，不是因为无知而是因为疲惫。本文分析安全疲劳背后的心理学，并提出一个聚焦于真正重要措施的现实优先级框架。

安全疲劳的科学

NIST 定义的"安全疲劳"

NIST 研究员 Mary Theofanos 等人通过用户访谈将安全疲劳定义为"对处理计算机安全的倦怠感或厌恶感"。这种疲劳经历三个阶段。第一阶段是"放弃" - 安全措施太多不知道该做什么。第二阶段是"无力感" - 觉得无论采取多少措施都无法防止攻击。第三阶段是"抛弃" - 故意忽视安全措施。这项研究清楚地表明，安全问题在于人类心理而非技术。

决策疲劳与安全

安全疲劳的根源是心理学中称为"决策疲劳"的现象。人类每天能做出的决策数量有认知限制，与安全相关的判断越多，其他判断的质量就越低。当每天被要求做出数十次判断 - "这封邮件安全吗""可以连接这个 Wi-Fi 吗""可以给这个应用权限吗" - 大脑就会进入节能模式，选择最轻松的选项（全部允许、使用相同密码）。这不是懒惰，而是认知资源耗尽的合理反应。

导致疲劳的过时建议

加剧安全疲劳的原因之一是没有科学依据的过时建议仍在广泛流传。典型代表是"定期更改密码"。NIST 在 2017 年的 SP 800-63B 中明确不推荐强制定期更改密码。强制定期更改会导致用户依赖可预测的模式（递增末尾数字、使用季节名），反而降低安全性。Microsoft 也在 2019 年废除了 Windows 的密码有效期策略。然而许多企业仍要求每 90 天更改一次，这导致了用户的疲惫和对密码策略的不信任。

同样，"密码必须包含大写、小写、数字和符号"的复杂性要求也在被重新审视。NIST 现行指南重视密码长度而非复杂性，建议最少 8 个字符（最好 15 个以上）。复杂性要求只会产生"P@ssw0rd!"这样可预测的模式，不会带来实质性的安全提升。密码的熵（信息量）远比复杂性更依赖于长度。

真正有效的对策优先级

Tier 1：这些是必须做的

将安全措施分为 3 个层级，从效果最高的开始实施，可以在最小化疲劳的同时获得最大防御效果。Tier 1 是"必须做的"措施。第一，引入密码管理器。仅此一项就能同时解决"每个服务不同密码""足够长的随机密码""记忆密码"三个课题。第二，为邮箱和金融服务设置多因素认证。不需要为所有账户设置，聚焦于被入侵影响大的账户以减轻负担。第三，启用操作系统和浏览器的自动更新。一次设置后无需持续判断。

Tier 2：有余力时做

Tier 2 是"有余力时做"的措施。包括使用 VPN（公共 Wi-Fi 时）、定期审查浏览器扩展、确认社交媒体隐私设置、删除不需要的账户等。这些没有 Tier 1 的即时效果，但能缩小攻击面。重要的是在 Tier 1 完成之前不要着手 Tier 2。基础不牢固时增加枝节措施只会增加疲劳，效果有限。

通过自动化减少判断次数

对安全疲劳最有效的对策是减少需要人类判断的场景。密码管理器自动化密码的生成、记忆和输入，大幅减轻认知负荷。操作系统自动更新消除了"何时更新"的判断。邮件过滤自动排除明显的钓鱼邮件，减少需要判断的邮件数量。通行密钥完全不需要密码，将认证相关的判断降为零 - 这是终极自动化。将安全从"需要有意识努力的事"转变为"系统自动保护的事"，是疲劳的根本解决方案。

组织如何减少安全疲劳

组织的安全负责人应该认识到，增加策略并不一定能提高安全性。Google 的内部调查确认了一个反相关：安全策略数量越多，员工合规率越低。有效的方法是减少策略数量同时提高每个策略的实效性。具体来说：废除定期密码更改改为全公司引入密码管理器、将年度课堂安全培训改为短时间实践型训练、引入 SSO 减少认证次数等措施是有效的。

关于密码疲劳的更多信息，请参阅密码疲劳解决方案。要了解密码行为的心理学，安全心理学指南 (Amazon)提供了有价值的见解。

现在就能做的事

引入密码管理器，使用 Passtsuku.com 生成的唯一密码设置到各服务（仅此一项就能覆盖 Tier 1 的大部分）
为邮箱和银行账户设置两步验证（只需这两个，不是所有账户）
启用操作系统和浏览器的自动更新（一次设置后无需再判断）
在 Passtsuku.com 确认密码强度，从弱密码开始更新（不要一次全部更新，每周 2-3 个）

常见问题

安全措施不全部做就没有意义吗？: 不是。与帕累托法则类似，安全领域中前 20% 的措施可以降低 80% 的风险。仅引入密码管理器和为主要账户设置两步验证就能覆盖普通用户面临的大部分风险。从效果最高的措施开始比追求完美而什么都不做更重要。
定期更改密码真的不需要吗？: NIST 和 Microsoft 已正式不推荐。当前最佳实践是用密码管理器管理足够长的随机密码，仅在确认泄露时更改。但如果收到泄露通知，请立即更改。
感到安全疲劳该怎么办？: 首先，不要试图一次做完所有事。只集中在 Tier 1 的 3 个措施（密码管理器、主要账户的两步验证、自动更新），其他的可以推后。完美的安全不存在。持续维持 80 分的措施比追求 100 分而放弃要安全得多。

这篇文章对您有帮助吗？

生成密码 →