现在登录的某系统 2 个月强制更新一次密码，整得我很烦躁

我记得 NIST 已经说了定时改密码对提升安全没有作用，不清楚为什么那么多学校和企业就是喜欢这个……

用密码管理器啊, 我早就放弃人脑和手抄的方式记录密码了, 各个网站都是随机生成的密码, 主要也是为了安全, 网站太多了, 用同样的密码容易被撞库.

@dingwen07

为啥？改密码不允许重复，不是把一段时间社工暴露的风险重置了吗？

@dingwen07 等保要求

他不会记住历史密码的话就还好。我也是用有个网站，要求定时修改密码，我在记事本，就记 2 个密码，每次改就这 2 个之间换来换去，反正我登录的时候，试完这 2 个密码总有一个对的

@mineralsalt 你用的什么密码管理器啊。我都没这么用过这类产品，使用场景方便么，有手机、电脑、家里、公司等等，平时同步、输入方便不

密码前部分固定，最后几位用年份+1/2/3/4/5/6 ，这还需要用本子记下来？

把改密码的所在月份改成密码的末尾数字就可以了， 如果校验还是提示和旧密码相似，就英文当前月份 + 数字

@brader #6 我是自建 Bitwarden , 很多 v 友也是这个, 综合来说, 这算是最好用的免费开源全平台密码管理器了

@mineralsalt 谢谢，一会去看下这个软件。这些密码管理器生成的密码都是复杂不方便输入的，请问在手机、电脑都支持自动填充吗

固定部分+4 位的年月。只要记住固定部分就行。

@brader #10 浏览器, ios, 安卓的 app 都可以自动填充, 其他系统没试过, 就是不能自动填充, 手动粘贴复制也不麻烦啊

哪有那么多不可以泄漏的密码。。。一般的网站，譬如 v2 ，我都是用同一个密码，谁爱扒就扒去好了。重要的密码，譬如 github ，那就一定要独立的密码且双因素认证才行了。

@cairnechen #3
NIST 就是这么写的
https://pages.nist.gov/800-63-FAQ/#q-b05


Q-B05:
Is password expiration no longer recommended?
A-B05:
SP 800-63B Section 5.1.1.2 paragraph 9 states:

“Verifiers SHOULD NOT require memorized secrets to be changed arbitrarily (e.g., periodically). However, verifiers SHALL force a change if there is evidence of compromise of the authenticator.”

Users tend to choose weaker memorized secrets when they know that they will have to change them in the near future. When those changes do occur, they often select a secret that is similar to their old memorized secret by applying a set of common transformations such as increasing a number in the password. This practice provides a false sense of security if any of the previous secrets has been compromised since attackers can apply these same common transformations. But if there is evidence that the memorized secret has been compromised, such as by a breach of the verifier’s hashed password database or observed fraudulent activity, subscribers should be required to change their memorized secrets. However, this event-based change should occur rarely, so that they are less motivated to choose a weak secret with the knowledge that it will only be used for a limited period of time.

@muunala10221 这个可以，用数字的月份被提示和原密码相同了

@mineralsalt 有些 APP 就是这么狠，不给复制粘贴的

苹果改密码的话，不能和近期的相同，我真是吐血🥵

@dingwen07 确实，上面几楼就给出了几个 common transformation 的例子。。

vaultwarden 很好用

所有历史密码都不能使用么？如果没有这个限制，那可以准备 3 个密码，轮流来就行。。

或者说服你们领导改成双因子，安全性也更高

我们是每个月更新一次，不能重设为前 3 次使用过的密码。我的解决方案是直接重设 4 次密码，继续用当前的。

@mineralsalt #12 你试试看数字人民币的 app ，不支持密码管理器，不支持复制粘贴，不支持切屏，一旦切屏强制清空已输入内容。

@li746224 你的这个方式打开了新世界……

Password_2023-07
Password_2023-09
Password_2023-11
Password_2024-01

@li746224 +1

@brader bitwarden 体验我来说一下，android 里 qq 最恶心，粘贴都不给粘贴，部分应用不能自动填充，电脑浏览器插件非常香，有快捷键自动填充，见框就按快捷键

@li746224 系统密码最短更换时间：1 天

那是因为你没见过 7 天改一次，三个账号都要改的
改密码对安全没帮助是什么新奇理论。。除非你是 AB 两个密码来回改
包括谷歌在内，我记得不少网站还要求改的密码不能与多久时间内的重复

等保要求

我也是想到了常用密码加上年月
但是如果一段时间没用过，再次登录要记得上一次修改密码是什么年月😂

有个奇怪的现象，我一直用密码管理器的，然后设置复杂的密码，有的网站过一两年再登陆的时候就会告诉你密码错了!!!!这就离谱，怎么可能错呢？然后要求手机验证。遇到过好多次了，每次都是国内的网站这么搞，无非是要实名手机验证，但告诉我密码错了是啥意思？每次上网都上一肚子气

pwd_2023_07
pwd_2023_09


这玩意有啥记不住的..

@M003 一段时间没用也很难想起来的 3 个账号使用的频率也不一样

keepass 啊，开源、全平台、各种插件、密码文件加密保存

@azio7 qq 密码输入框好歹还是系统输入法
有些脑残的手机银行 App ，密码输入框调用他自己的，键位乱序/输入无反馈/卡顿掉帧，如果你密码是随机生成的长密码，爽死

@hanlin85 哥哥,三个账号的密码都可以设置一样吧....

难道这破系统 设置密码还会跟别的用户的密码进行比较?
一般存密码都是 密码加密+盐 再加密,等等处理 一般用户密码直接加密后的都不会让人直接接触到.

@leefor2020 这种不让粘贴还用自己输入法的，我只能被迫降低密码复杂度以便能手动输入