Эксперты Microsoft пришли к выводу, что практика регулярной смены паролей по истечению срока действия — бесполезна и вреда. Несмотря на то, что это одна из наиболее известных и используемых политик по защите информации.

Есть два фактора, согласно которым эффективность такой политики минимальна.

Во-первых, если пароль еще не скомпрометирован, то совершенно неважно, когда он был создан — вчера или несколько лет назад. Если же его уже украли, то дожидаться истечения срока действия пароля небезопасно, и его нужно срочно заменить.

Во-вторых, в самом алгоритме этого подхода есть угроза для безопасности. Пользователи вынуждены регулярно придумывать новый пароль. И либо с каждым разом начинают генерировать более слабые пароли, чтобы их было проще запомнить, либо из-за сложности комбинации записывают ее где-нибудь в открытом доступе. А украсть стикер или подсмотреть запись в блокноте не так уж сложно.