如题
最近因为稽核ISO27001 其实也有通过稽核验证了
只是关于密码定期更换这个问题
后来陆续有些组织开始提出不应频繁更换导致使用者都使用
固定模式来进行更换更甚者导致自己密码忘记就写在隐密处等等困扰问题
（当然当事人的机敏资料必须进行控管有上锁保管好等）
然而在近期有看到关于 NIST SP 800-63B
此指引有提到避免强制轮换密码导致使用者负担
想说有没有人有遇到类似问题 欢迎一起讨论
当然 强迫使用者换其实很简单 只是在想有没有可以符合规定
又可以让使用者方便的双赢做法

password manager 跟 passkey另外虽说不换密码，但要能去监看有没有密码流落在外面被人用来撞库。能做到这个也是不容易

2FA、MFA.. Ex.OTP. 一组好的通行码胜过N组烂密码。https://auditboard.com/blog/nist-password-guidelinesNIST有一系列建议可参考，翻译一下哪些适合可以拿去参考。

感谢分享