合理的密码策略

维基百科对这个话题

常见的密码做法密码策略通常包括有关正确密码管理的建议，例如：

• 绝不共享计算机帐户
• 不要对多个账户使用相同的密码
• 永远不要告诉任何人密码，包括自称来自客户服务或安全部门的人
• 永远不要写下密码
• 切勿通过电话、电子邮件或即时消息传递密码
• 在离开计算机之前请务必注销
• 每当怀疑密码可能被泄露时，立即更改密码
• 操作系统密码和应用程​​序密码不同
• 密码应由字母数字组成
• 让密码完全随机但容易记住

建议来自代尔夫特理工大学：

可接受密码的特征

• 密码至少包含八个字符，并且
• 它至少包含一个大写字母，并且
• 它至少包含一个小写字母，并且
• 它至少包含一个数字或其他字符，例如！@#$%^&(){}[]<>...，并且
• 它不是一个熟悉的语言或行话中的术语，并且
• 它不与随附的帐户名称、个人特征或来自某人家庭/社交圈的信息相同或衍生自该名称，并且
• 很容易记住，例如通过一个关键句子，并且
• 可以流畅地输入。

保护密码的最佳做法

• 避免在工作和私人生活中使用相同的密码；
• 将所有密码视为敏感信息，不要与同事、家人或其他熟人的帐户共享；
• 无论正常情况下还是休假或生病时，不要向同事、老板或其他熟人透露密码；
• 不要在公共场合、通过电话或在未加密的通信中提及任何密码；
• 切勿将密码记在可随意访问的地方；
• 不要给出任何有关记忆密码的助记词的提示；
• 切勿在调查问卷或安全表格中提供有关密码的信息；
• 如果怀疑被滥用，则向安全组织报告并立即更改所有涉及的密码；
• 如果有人想知道密码，请让他参考此政策。

随着键盘记录器和网络钓鱼攻击的激增，您的组织可能需要考虑使用“强”密码的替代方案。请参阅Bruce Schneier 的博客关于论文强大的网络密码能起到什么作用吗？

我强烈建议使用双重身份验证。在足球、SecureID 和尤比克，实施第二个身份验证因素非常容易，而且相对便宜。

我喜欢密码安全用于跟踪密码。

我的建议：

• 鼓励使用密码短语，而不是单词。由 3-4 个单词组成的无意义的短语比 8 个乱码字符更容易记住。

• 设定合理的最大使用寿命。从 3 到 6 个月。

• 不要依赖 1337 口令来保护密码。暴力字典攻击者例如裂缝近 20 年来一直在进行字母->数字转换。但确实需要字母、数字、大小写和标点符号。

• 不要依赖非英语单词来保证安全。任何傻瓜都可以将多个词典加载到程序中。无论他是否会说这种语言。

您需要选择一个“合理”的频率来决定密码更改的频率。更改得太快，人们就会堕落成<old_password>+<number>（或类似情况）；更改得太慢，密码被泄露的风险就会增加。也许值得研究一下是否有规则可以设置来防止这种情况。

同样，您需要制定一条规则，规定密码不能重复使用多次（可能 10 次），以便人们不会在他们的帐户的两个（或三个）密码之间随意切换。

密码至少包含字母数字，且至少有一个大写字母。为了稍微提高安全性，还必须至少包含一个非字母数字字符。