您多久更改一次管理员/ root密码？

我有一个坏习惯，很少更改域中的管理员密码。我使用的密码相当不错，但我希望对此保持一致。

您认为哪个频率好？也许每6个月一次？

让我们进行快速计算（暂时忘记最佳实践）：

假设攻击者入侵您的系统的时间为六个月。我们还假设密码是从大小为62的字符集中随机选择的。

方案1：您在整个六个月内使用9个字符的密码。

方案2：前三个月使用9字符密码，其余三个月使用不同的9字符密码。

方案3：您在整个六个月内使用10个字符的密码。

在方案1中，如果蛮力攻击者可以进行62 ^ 9次尝试，则可以100％确定地入侵您的帐户。

在方案2中，如果他在一半的时间（三个月）内只能做（62 ^ 9）/ 2次尝试，那么他将以50％的确定性破解该帐户。下半场，他将以50％的把握获得另一个机会。因此，从统计角度上讲，他将以75％的确定性破解该帐户。

在方案3中，他将在整个六个月内进行62 ^ 9次尝试。但是有62 ^ 10的可能性。因此，他只能以1/62的确定性破解该帐户，大约是1.6％。

因此，如果我们排除所有其他因素（例如，密码被盗和其他类型的攻击），建议您宁愿选择更长的密码，也不要使用较短（或更简单）的密码，即使更改频率更高。特别是，因为在方案3中，只有10个字符需要记住，而在方案2中，则需要记住18个字符。

我们大多是Windows，每个管理员都有他们自己的域admin帐户，我们彼此信任，拥有强大的密码并时不时更改它们。我确信每个人都有很强的密码，因为我们使用同级压力来确保它们很长，并且其中包含数字和/或字符，但是我们对它们的更改不够频繁。\

补充：到目前为止，大多数人可能已经听说了这一点，但以防万一。加密和安全专家布鲁斯·施耐尔（Bruce Schneier）说，您应该使用强密码并将其写下来。

尽管从理论上讲，经常更改密码会更好，但是随着有效期的缩短，让我们写下事后因素的数量成倍增加。

如果这仅用于私人用途，为什么不使用公共密钥身份验证，并为密钥环提供一个好的密码？

您实际上是在谈论域的管理员帐户（SID：S-1-5-21domain-500），还是在谈论自己创建的管理员帐户，以便获得有关谁在做什么的有用日志？

通常，我将管理员帐户设置为长密码（超过20个字符），并将密码存储在安全的位置，并且永远不要使用该帐户。我通常每年大约更改一次该密码。我们的网络还具有锁定系统，该系统应能够防止任何远程蛮力攻击非常有效。由于我从未在日常任务中使用该密码，因此几乎不存在被截取的密码。

如果您谈论的是我已授予管理员特权的个人帐户，则我倾向于每6个月更改一次。我还倾向于尽可能使用基于密钥的身份验证，这样我的密码很少在任何地方传输。我通常也不会使用我认为大多数人会认为是高风险系统的系统。

无论您设置的密码多么复杂。最好每30至42天更改一次密码。6个月的密码太老了。应始终实施良好的密码策略以确保安全：-)

我通常只在工作人员离开后才重置root密码...但是鼓励具有sudo访问权限的用户每90天更改一次。