如題
最近因為稽核ISO27001 其實也有通過稽核驗證了
只是關於密碼定期更換這個問題
後來陸續有些組織開始提出不應頻繁更換導致使用者都使用
固定模式來進行更換更甚者導致自己密碼忘記就寫在隱密處等等困擾問題
（當然當事人的機敏資料必須進行控管有上鎖保管好等）
然而在近期有看到關於 NIST SP 800-63B
此指引有提到避免強制輪換密碼導致使用者負擔
想說有沒有人有遇到類似問題 歡迎一起討論
當然 強迫使用者換其實很簡單 只是在想有沒有可以符合規定
又可以讓使用者方便的雙贏做法

password manager 跟 passkey另外雖說不換密碼，但要能去監看有沒有密碼流落在外面被人用來撞庫。能做到這個也是不容易

2FA、MFA.. Ex.OTP. 一組好的通行碼勝過N組爛密碼。https://auditboard.com/blog/nist-password-guidelinesNIST有一系列建議可參考，翻譯一下哪些適合可以拿去參考。

感謝分享

推分享