为了保障网络上的信息安全，密码的关键性自然是重中之重。在过去，一旦发生信息事件时，许多网站或线上服务，都会要求使用者立即更改密码，甚至设下无比复杂的密码规则，只为了避免伤害进一步扩大。

但是，将密码设得极其复杂，以及要求使用者频繁、常态性的更换密码，真的有助于保障个人帐号安全吗？关于这点，我们或许得从另一个层面进行思考。

数据库被攻陷，改密码也没用

事实上，多数涉及个人资料外流的大规模信息安全事件，遭到攻破的目标都不是个别或单一使用者，而是网站数据库或服务提供商本身。由于业者在权限上的管理不当，或者软、硬件部分出现弱点，才使黑客有机可趁。

换句话说，即便使用者已经做足一切信息安全防护措施，其实也阻挡不了储存个人资料的服务器遭黑客攻陷，所以即便有着再复杂的密码，也无法避免黑客从源头下手。此外，许多业者要求立即更换密码的行为，大多也没有实质意义，毕竟当机密资料已经从服务器外流，使用者即便想亡羊补牢，通过更换密码来阻挡下次外泄，也改变不了之前资料已经曝光的事实。

同时，黑客有着很高的可能性，在已经攻破的设备上植入后门，等待下次攻击机会，再度提取资料，服务器提供者若无法“清零”这些后门程序并补上漏洞，使用者若又于此时更换新密码，等于是直接帮黑客打了一支新钥匙。

更换密码的意义在“损害管控”

既然如此，更换密码的意义又是什么呢？站在资料安全的角度，受入侵后立刻更换密码的行为，主要还是不希望让灾情波及到其他服务，尤其是为那些偏好选择同一组密码，畅行多个线上服务的用户，及时做好损害控管。

因此，用户在帐号密码上较为良好的管理习惯，应该是有意识的让不同的服务，各自拥有不同的密码，而不是仅靠一、两组密码走天下，对于提供服务的网络业者也该采行不信任态度，事先预设他们的数据库，总有一天会发生信息安全事件。

只不过，由于网络上的服务成千上万，对于人类来说，如果每一个服务都要记忆不同的密码，同时适应严苛、复杂的密码规则，对于脑袋而言是个很大的负担，因此如 LastPass、1Password 这类的密码管理器，其实就有着相当不错的应用空间，若配合混合密码生成器使用，既可以减少思考的麻烦，也能够使帐号的安全保障更上层楼，并且避免资料安全损害扩大。

没有密码就是最好的密码

目前较主流的线上服务提供者，例如 Google、Facebook 与微软，反而都意识到了最好的密码其实是“没有密码”，他们选择改以在用户登入帐号时，发送信息到用户绑定的手机、平板等设备，再一次进行确认登入的步骤，甚至于直接改采用经过绑定谁被扫描 二维码之类的方式进行登入，完全抛弃帐号、密码的概念。

假如所使用的服务还无法提供上述类似功能，那么现在资料安全的最基本要求，就是使用者必须尽可能的开启两步骤认证（2FA，或双因素认证）。无论是通过接收手机短信、拨打认定电话或输入验证器 App 所产生的 OTP 密码，其实都能通过此大幅提升帐号安全，提供比超复杂密码、经常更换密码等更有用的保护措施。