黑客破解密碼常用的方法：

　　我們會想方設法來保護密碼的安全，比如增加密碼長度、使用復雜的語法以及特殊字符等等，這確實有助于增強密碼的安全性，這些方法往往要求你每90天更改一次密碼，但奇怪的是看不到什么明顯的好處。

　　但是那些黑客們通常會用四種基本的方法得到你的密碼：

(1)直接詢問，所謂的“釣魚”和“社會工程學”的攻擊仍然在進行，并且一直有效（現在應該是人肉搜索吧）

(2)試著用字庫來匹配提示框，希望碰到好運氣

(3)獲取加密之后的密碼或哈希碼，反過來進行解密

(4)使用keylogger等惡意軟件在你在電腦中輸入時獲取密碼

　　這四種情況不會因為你每隔90天更改了一次密碼就從你身邊走開。如果壞人們無法在幾天內攻破哈希碼(3)，他很可能去尋找更容易的攻擊目標。攻 擊(1)也是速戰速決型，壞人們通常只使用前幾百個單詞，如果無效的話馬上就會轉向其他更容易的獵物。如果(2)或 (3)攻擊成功，或者攻擊者通過更簡單的(1)或(4)獲知密碼，那么他們平均只需要45天就足以把你的銀行帳戶弄得一干二凈，或者把你的電子郵件地址變 成發送垃圾郵件的據點。

　　在過去25年左右的時間里，密碼過期的概念沒有什么變化。信息安全技術人員、審計人員、PCI、 ISO27002和COBIT等等的要求都保持不變，但威脅已經改變了不少。通常，密碼脆弱的用戶只會用另一個脆弱的密碼來替代。而強迫一個密碼強度已經 很高的用戶更改密碼最終反而會惹惱他而使用簡單的密碼。

　　那么90天的密碼更改周期到底有什么意義呢？有一個實際的好處。那就是如果有人有你的密碼而他們想做的一切只是偷偷的閱讀你的電子郵件，那么你 改變密碼可以阻止他們永遠這樣做下去。定期更改密碼并不能抵御那些想要竊取你的機密的惡意攻擊者，但它確實能讓你擺脫那些偷偷摸摸的潛入者或窺探者。沒 錯，這是好的。但是，這點好處是否值得去強迫用戶去不嫌麻煩的每90天更改一次密碼呢，答案是肯定的。防患于未然，才是安全的真諦。