建议组织建立强密码的创建、维护和存储标准。目前，组织在实施密码策略时应审查两种方法。第一个是遵循美国国家标准与技术研究院(NIST)密码建议提供的所有准则，如特别出版物(SP)800-63B第5.1.1.2节中列出的。如果组织由于预算或技术限制而无法遵循NIST SP 800-63B，在努力实现NIST标准时建议采取以下措施。

创建

• 实施复杂性规则：

• 允许的最小密码长度为14个字符。

• 强制密码包含大写和小写字母、数字0到9以及非字母数字字符。

• 不允许使用重复或连续的字符（例如“aaaaaa”、“abc123”）。

• 不允许使用特定于上下文的单词，包括用户名及其派生词。

为了计算密码的熵（强度），将字符集计算为密码长度的幂。
普通键盘上有26个大写字母、26个小写字母、10个数字和33个ASCII可打印符号。计算机每秒可以猜测超过10亿个密码。

人物	8个字符	9个字符	10个字符	11个字符	12个字符
全部	70天	18年	1,707年	169,547年	15,091,334年
仅小写	208秒	90分钟	39小时	42天	3年

维护

• 实施与密码结合使用的双因素或多因素身份验证：

• 您拥有的东西（例如用于接收短信的手机、物理钥匙等）；

• 您的身份（例如指纹等生物识别信息）；或者

• 您所在的某个地方（例如GeoIP）。

• 密码策略应强制执行：

• 密码最长期限为30至90天；

• 密码最短使用期限与密码历史记录相结合，以限制密码重复使用。如果没有最短密码期限，强制执行密码历史记录是无效的。

• 接受所有Unicode字符和空格。

• 对员工进行密码最佳实践教育。

贮存

• 不要使用可逆加密来存储密码。假设最终会泄露，密码应存储为加盐的单向密钥派生函数。

原文始发于微信公众号（河南等级保护测评）：网络安全入门–组织密码最佳实践