密码轮换

本文约需 2 分钟阅读

密码轮换是指每隔一定时间更换密码的运维惯例。过去「每 90 天更换一次」之类的规则曾被视为安全最佳实践，但 2017 年 NIST (美国国家标准与技术研究院) 在 SP 800-63B 中明确将定期更换列为不推荐做法，使密码运维的范式发生了重大转变。如今，除非出现泄露迹象否则不更换密码的「事件驱动型」轮换，正逐渐成为国际标准。

NIST SP 800-63B 带来的范式转变

2017 年修订的 NIST SP 800-63B (数字身份指南) 明确将此前被视为常识的定期更换密码列为不推荐做法。这一修订的背景是多项研究表明定期更换会对用户行为产生负面影响。北卡罗来纳大学的研究 (2010 年) 显示，许多被强制定期更换密码的用户只是像「Password1!」→「Password2!」→「Password3!」这样仅更改末尾数字，做出模式化的更换。

密码运维方针的演变

~2016

每 90 天强制更换

2017

NIST SP 800-63B 修订

2017~

转向事件驱动型

定期更换适得其反的机制

强制定期更换在理论上应能提升安全性，但许多研究表明，实际中由于以下原因会适得其反。

模式化

仅递增末尾数字的更换。攻击者可以从旧密码轻易推测出来。

简单化

因频繁更换而疲惫，转而选择易记的弱密码。这是密码疲劳的典型例子。

抄写记录

记不住而记在便签或文件里，物理泄露的风险增大。

例外 - 需要立即更换的情形

定期更换虽不推荐，但在以下情形下必须立即更换密码。这正是事件驱动型轮换的核心。

确认发生凭据泄露时 (通过 Have I Been Pwned 等检测)
收到数据泄露通知时
日志中记录到未授权访问迹象时
检测到恶意软件感染，密码可能已被窃取时
接管离职或调动人员的账户时

日本企业的现状

即便到了 NIST 修订 9 年后的 2026 年，日本许多企业依然强制要求定期更换密码。总务省于 2018 年公布了「无需定期更换」的见解，但不少组织的内部规程修订尚未跟上。尤其是金融机构和政府机关，往往以与审计标准、合规要求保持一致为由，保留旧有规则。企业密码策略的文章详细讲解了在组织层面进行审视的方法。

定期更换 vs 事件驱动型

观点	定期更换 (旧式)	事件驱动型
更换时机	每 90 天等固定周期	仅在检测到泄露时
用户负担	高 (诱发疲劳与简单化)	低
密码质量	容易下降	容易维持
遵循的规范	旧 NIST、旧 PCI DSS	NIST SP 800-63B (2017~)

转向事件驱动型的步骤

组织要从定期更换转向事件驱动型，需要同时推进技术对策和规程修订。在审视密码策略的同时，引入密码管理器并完善泄露监控机制非常重要。

引入泄露监控

修订密码策略

废除定期更换规则

向员工告知与培训

常见误解

「停止定期更换会不会降低安全性」这种担忧根深蒂固，但这是一种误解。NIST 不推荐的是「定期的」更换，并非否定更换密码本身。怀疑发生泄露时立即更换反而是受到强烈推荐的。关键在于把更换的触发条件从「时间流逝」切换为「安全事件的发生」。关于密码的心理层面，密码心理学的文章有详细讲解。密码安全相关书籍 (Amazon)也可作为参考。

现场使用案例

「我们于 2023 年废除了每 90 天更换一次密码的规则，引入了与 Have I Been Pwned API 联动的泄露检测系统。密码重置请求从每月 150 件减少到 20 件，帮助台的工作量大幅减少。同时，我们通过全公司培训普及安全密码的创建方法，密码质量也得到了提升。」