为什么是每90天要改密码？

星期天上午，小明接到主管的电话，说他寄了一封重要的email到小明的信箱。小明赶忙开手机收信，哇！？收信APP出现讯息，说他的密码已到期，要先更新密码才能登入。但是用手机要如何更改公司帐号的密码呢？平常密码到期，他都是以公司的桌机处理。当初以手机收发公司email的设定，都是IT部门帮忙处理，现在只好再打电话给IT部门的人了。

如果你在IT部门工作，你或许在假日接过这样的电话。定期更新密码已成为资讯安全的基本措施，但你是否想过，为什么是每90天要更新密码呢？咦，大家不是都这么作吗？

一般来说，公司员工会在週一至週五的工作日设定密码，如果不考虑节庆假日的话，週一或週二设定密码者，90天之后的密码到期日会落在週六或週日。假设公司员工有1000人，则估计平均会有10-20人的密码到期日会落在週六或週日。这些员工就可能在假日打电话给IT部门，或者是待週一上班日再处理。根据过往经验，IT部门在週一会接到大量密码更新或是密码遭到锁定的处置需求，形成IT服务的「尖峰时刻」。

如果将密码到期天数设为7的倍数，比方说91天或84天，在不考虑节庆假日情况下，密码到期日会落在週一到週五的工作日，如此就可以减少週一尖峰时刻的现象。这种改变不仅减轻IT部门的工作负荷，避免使用者的困扰，而且不致影响定期更换密码的作用。根据我们实际的经验，将密码效期从90天改为98天后，每週一IT服务人员的工作量约减量20%。

密码效期设为90天的作法，突显了现行诸多资安防护措施只是基于惯性盲从，缺乏以现场实作经验为基础的IT维运思考。我们认为，任何以资安防护为诉求的措施，在设计及落实到现场之前，应该充分考量使用者的操作习性、可能的副作用，及IT部门的维运负荷等因素。当然，更重要的是要能务实地评估这类措施的实际效益，而非囫囵吞枣，不加思索。即便是法规要求事项，也应该充分理解辨识其正反效应，并就组织的特性及需求加以调适后，再予採行。

至于设定密码效期的作法，是否真有助于资安防护效果，则又是另一话题了。