应用程序报告当前密码到期还剩下多少天是否不安全？

        请参阅Bruce Schneier的有关更改密码的博客文章。 密码过期的主要原因是使受破坏的密码过期；告诉用户（或攻击者）它将过期不会改变这一点。它的作用是告诉攻击者在截止日期之前做出其他让步。这是否有风险取决于是否存在此类攻击者（我希望要做的第一件事就是安装rootkit）。 安全性好处在于，给了用户一定时间（例如一周）来考虑新密码。只要我不急于完成工作，我就可以在一两分钟内输入一个像样的密码。否则我只会在最后增加一个计数器。每个人都这样做。 我的感觉是，有效地说出“在下周的某个时候，想一个新的密码”的好处远胜于潜在的风险，但是30天太短了。我实际上只需要记住几个密码（电话，笔记本电脑+ root，家庭服务器+ root，工作计算机+服务器，密码安全）；改变其中任何一个都是乏味的。 有多种方法可以确保用户不选择与旧密码相关的密码；他们都不是特别好。     ,        我认为，如果您需要告诉用户密码在这么多天内到期，则应该创建一个页面，该页面在登录完成后出现。 例如，如果您有一个页面作为您的登录表单，则此后转到另一个脚本，该脚本在成功登录后会重定向到主页。 除了立即重定向之外，您还可以在页面上使用“ 0”使用户有五秒钟的时间来阅读页面，并显示用户在密码过期之前还有多少天。 但是请确保仅在登录后才显示该消息，否则，黑客可以阅读登录页面的内容以了解何时需要更改其密码。 Ad @ m     ,        我认为告诉用户密码何时过期并不安全-至少我看不到它如何切实地帮助攻击者。无论如何，这都是惯例-正如亚当（Adam）所言，Windows本身就是这样做的。