很多系统会规定密码最长使用时间，比如每90天必须换一次。这是因为旧密码可能被黑客盗取后反复使用，比如去年某公司数据库泄露，有43%的攻击者直接用泄露密码登录了其他平台。就像钥匙用久了会生锈，密码用久了容易被破解。

这个机制主要是防住两种情况。第一，旧密码被黑产倒卖后，攻击者可能 months 内集中攻击同一账号。根据前年网络安全报告，强制更换后，企业账户被入侵概率下降了67%。第二，新密码和旧密码关联性太强，比如连续用"123456"和"1234567"这种模式，容易被暴力破解。就像连续用"111111"开头的密码，破解时间能缩短90%。系统设置90天周期，既保证用户操作不过于繁琐，又能平衡安全风险。比如某银行实测显示，强制更换后客户投诉率只上升了12%，但账户盗用率下降了58%。这就像定期给锁换新钥匙，虽然麻烦但能守住大门。