星期天上午，小明接到主管的電話，說他寄了一封重要的email到小明的信箱。小明趕忙開手機收信，哇！？收信APP出現訊息，說他的密碼已到期，要先更新密碼才能登入。但是用手機要如何更改公司帳號的密碼呢？平常密碼到期，他都是以公司的桌機處理。當初以手機收發公司email的設定，都是IT部門幫忙處理，現在只好再打電話給IT部門的人了。

如果你在IT部門工作，你或許在假日接過這樣的電話。定期更新密碼已成為資訊安全的基本措施，但你是否想過，為什麼是每90天要更新密碼呢？咦，大家不是都這麼作嗎？

一般來說，公司員工會在週一至週五的工作日設定密碼，如果不考慮節慶假日的話，週一或週二設定密碼者，90天之後的密碼到期日會落在週六或週日。假設公司員工有1000人，則估計平均會有10-20人的密碼到期日會落在週六或週日。這些員工就可能在假日打電話給IT部門，或者是待週一上班日再處理。根據過往經驗，IT部門在週一會接到大量密碼更新或是密碼遭到鎖定的處置需求，形成IT服務的「尖峰時刻」。

如果將密碼到期天數設為7的倍數，比方說91天或84天，在不考慮節慶假日情況下，密碼到期日會落在週一到週五的工作日，如此就可以減少週一尖峰時刻的現象。這種改變不僅減輕IT部門的工作負荷，避免使用者的困擾，而且不致影響定期更換密碼的作用。根據我們實際的經驗，將密碼效期從90天改為98天後，每週一IT服務人員的工作量約減量20%。

密碼效期設為90天的作法，突顯了現行諸多資安防護措施只是基於慣性盲從，缺乏以現場實作經驗為基礎的IT維運思考。我們認為，任何以資安防護為訴求的措施，在設計及落實到現場之前，應該充分考量使用者的操作習性、可能的副作用，及IT部門的維運負荷等因素。當然，更重要的是要能務實地評估這類措施的實際效益，而非囫圇吞棗，不加思索。即便是法規要求事項，也應該充分理解辨識其正反效應，並就組織的特性及需求加以調適後，再予採行。

至於設定密碼效期的作法，是否真有助於資安防護效果，則又是另一話題了。