面对越来越多的网络攻击，我们对个人服务账号的保护也应该越来越强才行。为了防止自己的账号密码被破解，不少服务商和安全专家希望我们能够每30天或者每60天更换一次密码。

这当然是一件有益的事情，这也是一个好习惯。但是这种习惯并不一定适合所有人。

即将成为美国联邦贸易委员会（FTC）首席技术官的卡内基·梅隆大学教授Lorrie Cranor在上周的一次公开演讲中表示，频繁更换密码或许才是账户安全的一大威胁。

但是Lorrie Cranor指的并不是“频繁更换密码”本身这件事，而是人们更改密码的方式。北卡罗来纳大学教堂山分校的研究人员在2010年公布了一项研究，研究中他们让10000名师生注册了测试网站的账号，并强制要求每三个月更换一次密码。这项研究不仅仅只观察这些用户最后一次的密码组合，也收集了在测试过程中修改的密码。

经数据研究后发现，尽管频繁修改密码所带来的是用户对密码体系的规则化。比如“welcome1”这个密码，在被要求修改之后，用户通常会改成“Welcome1”或者“wElcome1”，或者是单纯地增加数字，如“welcome111”等。

“联合国军司令部研究人员说，如果人们不得不每隔三个月修改他们的密码，那么他们倾向于使用模式化的套路，我们称之为变形。他们把自己的旧密码通过一些微小的改变，做成一个新的密码。”

这是一个好事情吗？并不是。研究人员利用这些数据进行了算法变换，并将密码破解程序投放到测试网络中去模拟攻击，结果有17%的账户密码在5次以内被攻破，而利用高性能电脑进行离线暴力破解攻击时，有41%经过了密码修改的账户在三秒内被攻破，也就是说，羸弱的密码主体与简单的模式化修改组合在更先进的密码破解手段面前并不可靠。

事实上很多用户依然不关心这些问题。2011网上的一项数据表明，“password”是网民们最常用的密码，而且在当年的“最常用的前25个弱密码”榜单中，并未出现与“password”相似的密码组合；可是在2012年国外网民最常用的前25个密码排名中，第一名仍然是“password”，但是相应的，“password1”进入到了前25名；2013年，“password”降至第2名但“password1”爬升至第21名。

2015年，“passw0rd”出现在最常用密码榜单中，位居第24。而在这份榜单中，著名密码“123456”的变种几乎每年都有上榜，如“1234567”和“12345678”等。

尤其是在当前网络黑市泛滥的今天，如果用户的密码和数年前被曝出的泄漏事件密码相同或者相似，那么黑客通过撞库攻击而将“无辜”用户波及进来的几率会大大提升。如果用户不能将重视这些问题，更多更关键的账号将会发生危险。

研究人员在卡尔顿大学的另一项研究证明，频繁的密码更改只能妨碍攻击者的破解速度，完全地防御是不可能的。

如果你希望自己的账号能够尽可能的掌握在自己手中，并且不希望频繁更换密码，那么最好在一开始就建立一些长度较大，并且加入更多元素，比如半角符号、数字、大小写字母混合的密码；通过离线的加密软件生成一些高强度密码也是一个值得推荐的选择。