威胁组织一直不断试图窃取用户密码，为了提高密码安全性，监管部门建议每个帐户都使用更长且唯一的密码，但许多人为了方便仍然坚持多个账号都使用相同的易于猜测的密码。

这样的做法为威胁组织窃取密码提供了可乘之机，好消息是，有一种方法可以同时支持安全性和用户体验。

重新思考传统密码的最佳安全方式

长期以来，用户被要求创建由不同字符类型组成的8个字符的密码。然而，短密码的单词和模式更易于记忆，并且也易于基于模式的攻击来破解。 

任意密码更改（例如要求用户每90天更改一次密码）仍然是一些常见的安全措施，以减轻未经授权访问用户帐户的风险。然而，频繁更改密码也会导致密码疲劳，导致用户设置容易被猜到的难忘密码。

鉴于密码攻击的普遍性和日益复杂性，我们更加需要注意其密码安全性。以下措施可以让用户密码安全性更强。 

强制使用更长的密码/密码短语

三随机字建议。不要使用众所周知的名称和日期，而是创建由三个不相关单词组成的密码字符串。因为单词之间没有明显的联系，这将使威胁组织难以猜测。

将密码过期与密码长度相关联

保障密码安全性的另一种方法是将密码长度与其到期日相关联，这意味着密码越长，其有效期就越长。使用密码长度来确定到期日期可以防止频繁更改以及无限期使用同一密码的情况出现，这样的方式也可以鼓励人们使用更长的密码。 

消除密码泄露

包含被破坏密码的密码拒绝数据库可提供最佳保护。具有泄露密码保护功能的Specops密码设置允许平台阻止使用超过40亿（并且还在不断增加）的已知泄露密码，且系统仅接受安全系数高、难以破解的密码。

参考及来源：https://www.bleepingcomputer.com/news/security/how-to-secure-ad-passwords-without-sacrificing-end-user-experience/