l  有人闯入了系统，得到了所有的密码散列。

密码复杂度和重新设置不会导致选择预期的随机口令，它会导致用户重复使用有限数量的不同密码，仅改变可预测的数字和日期之类的字符串，这样用户就可以在需要的时候登录和工作。它使密码更易于预测，而且经常离线使用。这会使系统的安全性变得更差！

很多专业人士在2017年出版《NIST800–63》（数字身份指南）之前就明白了这一点，他们在该新技术标准发布后再也找不到任何借口。

遗憾的是，像PCI-DSS之类的一些合规机制仍然要求定期重置密码，我希望以后它们会被更新并要求管理员多因素身份验证。传统是很难改变的！（注：Reddit用户表示，使用“补偿控制”MFA可以获得PCI-DSS认证而无需复杂度规则和密码重置）

全世界的企业浪费了数千小时的用户时间和服务台时间，并且由于他们仍然使用密码复杂度规则和定期密码重置，使得安全变得更加糟糕。是时候停止这种疯狂了。

那该如何做

l  理解自己的职责是帮助用户提高安全性，而不是帮助用户去遵守那些想象中的、毫无根据的规则

l  检查您所保护的应用程序，对其进行配置以限制一段时间内失败的登录尝试次数，并在登录尝试次数过多时通知用户和管理员

l  推广使用密码管理器和多重因素身份验证

l  停止传播关于密码复杂度和重置的不良建议。

来自公众号：51CTO技术栈