让我们做一个快速计算(暂时忘记最佳实践):
假设攻击者在六个月内入侵您的系统。我们还假设,密码是从大小为 62 的字符集中随机选择的。
场景 1:您在整个六个月内使用 9 个字符的密码。
场景 2:您在前三个月使用 9 个字符的密码,其余三个 monts 使用不同的 9 个字符密码。
场景 3:您在整个六个月内使用 10 个字符的密码。
在场景 1 中,如果暴力攻击者可以进行 62^9 次尝试,那么他可以 100% 确定地入侵您的帐户。
在场景 2 中,如果他在一半的时间(三个月)内只能进行 (62^9)/2 次尝试,他将有 50% 的把握破解该帐户。下半场,他有50%的把握再次获得机会。所以从统计上来说,他有 75% 的把握会破解这个账户。
在场景 3 中,他将在整个六个月内进行 62^9 次尝试。但是有 62^10 种可能性。因此,他只会以 1/62 的确定性入侵该帐户,即大约 1.6%。
因此,如果我们排除所有其他因素(例如密码被盗和其他类型的攻击),建议选择更长的密码而不是使用较短(或更简单)的密码,即使它们更频繁地更改。特别是,因为在场景 3 中,只需要记住 10 个字符,而在场景 2 中,它是 18 个字符。
无论您设置的密码有多复杂。每 30 到 42 天更改一次密码始终是一个好习惯。6 个月的密码太旧了。应该始终实施良好的密码策略以确保安全:-)