一个密码策略应当在不增加不必要安全负担的前提下,使账户更难被攻破。最优策略应当清晰、可执行、贴合人的实际工作方式。它们鼓励使用长且唯一的密码,支持密码管理器,在适当场景下要求多因素认证(MFA),并去除那些令用户行为更可预测的过时规则。
\n本文将解释现代密码策略的最佳做法、禁忌事项、应避开的错误、值得遵循的建议,并附上一份可直接复制并根据您组织情况调整的模板。
\n密码策略是一套规定,定义了密码的创建、保存、使用、共享、变更和保护方式。它适用于员工、承包商、管理员、服务账户,有时也适用于客户,这取决于相关系统范围。
\n一个好的密码策略需要反映实际问题:
\n目标不是制定最复杂的规则集,而是实际降低风险。
\n长度是抵御猜测和暴力破解攻击最有力的防线之一。为所有人类用户账户规定统一的最小长度,通常比对普通用户、管理员和特殊账户分别设定不同规则更简单易懂。实际可行的默认值是要求所有人类用户账户密码不少于 16 位。若借助密码管理器或使用随机生成的密码短语,更长更佳。
\n用户应有权创建远超最小长度的密码。避免将密码长度上限设为 16、20 这样的低值。至少 64 位的最大长度是合理底线,许多系统支持更长更安全。
\n如密码短语足够长,且不基于常用语句、歌词、公司名或可预测词组,应予允许。例如由数个随机单词组成的密码短语,通常优于用复杂字符强行拼凑的简单密码。
\n每个账号都必须有独一无二的密码。密码复用是同一个密码在多个服务遭遇泄漏、最终导致多账号被攻破的主要根源。密码管理器让使用唯一密码变得可行,因为用户无需记住每个凭据。
\n您的策略应明确允许并鼓励使用经批准的密码管理器。用户应可将密码粘贴至登录框,使用自动填充或随机密码生成功能。禁止粘贴表面上似乎保护安全,实际却常常妨碍密码管理器的优秀实践。
\n若密码出现在众所周知的泄漏列表、常用密码名单,或组织特定的黑名单中,应被拒绝使用。这比强制要求密码必须包含大写字母、数字和符号更为有效。
\n应在技术上可行的情况下启用多因素认证,尤其对管理员、远程访问、云服务、邮箱、密码管理器、财务系统等高价值系统。MFA 不能替代强密码,但能减少凭据被盗带来的影响。
\n优先选择抗钓鱼的 MFA,比如 Passkey、硬件安全密钥或平台认证器。基于 APP 的 MFA 优于短信。只要有其他 MFA 可用,严禁使用基于短信的 MFA,因为手机号码可被拦截、SIM 换卡、移植或在账号找回流程中被滥用。
\n这并非理论问题。2018 年 Reddit 披露,攻击者拦截了基于短信的二次认证,入侵其内部系统:https://www.reddit.com/r/announcements/comments/93qnm5/wehadasecurityincidenthereswhatyouneed_to/。2021 年 Coinbase 报告,攻击者通过凭据泄漏和 Coinbase 短信找回过程的缺陷,盗取了至少 6000 名客户的加密货币:https://www.reuters.com/technology/coinbase-says-hackers-stole-cryptocurrency-least-6000-customers-2021-10-01/。
\n当发现或有充分理由怀疑密码被泄漏时,必须立即更换密码。例如遭遇钓鱼攻击、用户设备被恶意软件感染、凭据在泄漏事件中曝光、出现可疑登录活动或不慎泄露密码。
\n若可为个人分配账户,严禁使用共享密码。确实无法避免共享凭据时,需将其储存在受批准的密码管理器中,仅授权用户访问,并在可能的情况下记录共享操作。
\n密码重置通常是账户安全中最薄弱的环节。重置流程必须验证身份,重置链接需快速过期、仅可单次使用,并在密码变更后通知用户。
\n要求每 30、60 或 90 天强制更换密码,常常导致密码更弱。用户习惯小幅度、更易被猜测的修改,比如加个数字或改造季节。NIST 数字身份准则已废除例行定期密码更换的要求,只须在证明被泄漏时更换密码。参见 3.1.1.2 小节:https://pages.nist.gov/800-63-4/sp800-63b.html#passwordver。应在怀疑泄漏、角色变更、账户找回或者密码已不满足策略时要求更换。
\n“必须含大写、小写、数字、符号”这样的规则并不等于密码强度。Password1! 满足很多复杂度要求,但仍然很弱。优先考虑长度、唯一性、随机性、泄漏筛查。
\n禁止粘贴令密码管理器难以使用,也会导致用户倾向用更短、易输入的密码。除非存在具体且已记录的安全理由,否则应允许粘贴和自动填充。
\n密码提示往往泄露过多信息。用户能靠提示记起密码,攻击者很可能也能猜出。请用更安全的重置流程替代。
\n系统绝不能以明文或可逆加密形式存储密码。必须采用现代、缓慢、带盐的哈希算法(如 Argon2id、bcrypt、scrypt 或 PBKDF2)对密码进行哈希,具体选择取决于系统能力和合规要求。
\n像 MD5、SHA-1、SHA-256 或 SHA-512 之类的快速通用哈希算法,不适合用于密码哈希。它们为加速而设计,数据库泄漏后可被离线暴力破解。欲了解详情,推荐阅读我们的密码哈希算法演进相关文章。
\n严禁用邮件、聊天、工单、文档、截图等方式分享密码。请使用带有安全共享和访问控制的密码管理器。
\n密码不可含姓名、生日、公司名、键盘规律、重复字符,也不要用常见替换如@代替a、0代替o。攻击者会优先尝试这些模式。
采用易于理解的要求:
\n管理员账户、服务账户、生产环境访问应有更严格的控制。要求更强密码、启用 MFA、受限授权、监控异常并在权限变化时立即轮换密码。
\n光靠强密码无法弥补权限过度。用户只能访问其角色所需的系统及机密。
\n侦测异常的登录模式、不可能的地理轨迹、连续失败尝试、新国家 IP 登录、工作时间外访问等现象。密码策略应辅以监控和事件响应机制。
\n培训内容应聚焦于密码复用、钓鱼、电信诈骗网站、MFA 疲劳攻击、安全共享与如何报告密码泄漏。避免责备用户,营造易于合规的安全环境。
\n密码策略必须易懂。若过长、过宽泛或太苛刻,人们会变通规避。只有可真正执行、实际遵循的策略,才是有效的策略。
\n请以以下模板为起点,按组织、系统、风险和法律要求调整方括号内内容。
\n密码策略\n\n版本:[1.0]\n负责人:[安全/IT部门]\n生效日期:[YYYY-MM-DD]\n评审周期:[每12个月]\n\n1. 目的\n\n本策略定义[组织名称]创建、使用、存储、共享和更改密码的各项要求。旨在降低未授权访问、凭据盗窃、账户被攻破和数据丢失的风险。\n\n2. 适用范围\n\n本策略适用于所有员工、承包人员、临时及服务外包员工,以及其它访问[组织名称]系统、应用、网络、云服务或数据的用户。\n\n本策略适用于普通用户账户、特权账户、服务账户、共享账户及其它鉴权采用密码的系统。\n\n3. 密码创建要求\n\n所有密码必须满足以下要求:\n\n- 人类用户账户密码不得少于16位。\n- 密码必须唯一,不得在工作/个人账户之间复用。\n- 密码不得含姓名、用户名、公司名、生日、键盘规律、重复字符或其它易被猜测内容。\n- 密码不得基于常用短语、语录、歌词或可预测替换。\n- 密码不能出现在任何已知泄漏或常用密码名单中。\n- 密码可包含空格、符号、数字、大、小写字母。\n- 密码短语可用,但需长、唯一、且不能是公知/易预测词语组合。\n\n4. 密码管理器\n\n[组织名称]要求或强烈建议使用经批准的密码管理器创建、存储和共享密码。\n\n用户可使用密码管理器中的密码生成、自动填充、复制粘贴功能。密码严禁存储于浏览器、表格、文档、记事、邮件、聊天、截图等未获批准的平台。\n\n5. 多因素认证\n\n应在技术可行情况下为以下系统启用多因素认证,包括但不限于:\n\n- 邮箱账户\n- 远程访问系统\n- 密码管理器账户\n- 云服务\n- 管理员账户\n- 财务、人力资源及其它高风险系统\n- 被定级为[机密/关键]的系统\n\n如有条件,用户应首选抗钓鱼的MFA(如Passkey、硬件安全密钥、平台认证器)。认证器APP优于短信。若存在更强MFA方式,严禁采用短信型MFA,如无其他方式仅可例外允许。\n\n6. 密码变更\n\n在以下情况下必须立即更换密码:\n\n- 密码发现或怀疑已泄漏时;\n- 用户将密码输入了可疑钓鱼网站;\n- 密码被误发、误与未授权人员共享;\n- 检测到用户设备中有恶意软件或被未授权访问;\n- 密码出现在公开数据泄露事件中;\n- 特权用户角色或雇佣状态发生变化;\n- IT或安全部门指示用户更改密码。\n\n除法律、合约、系统限制要求外,例行密码到期变更不做强制。密码更换时,不得以小幅度、规律性修改原密码。\n\n7. 密码共享\n\n严禁通过邮件、聊天、工单、文档、截图、电话或口头分享密码。\n\n确因技术上无法单独分配账户或经[安全/IT]批准,可采用共享凭据。被批准的共享凭据,必须存储在批准的密码管理器,限制仅授权用户访问和共享。\n\n8. 特权账户\n\n特权账户须使用唯一密码,不得与普通账户密码一致。必须在技术可行情况下启用MFA,并定期审查。\n\n管理员离职、变更角色、无须访问或怀疑泄漏时,必须轮换特权密码。\n\n9. 服务账户与应用密钥\n\n服务账户密码、API密钥、令牌及应用密钥必须存储在批准的机密管理系统或密码管理器中。\n\n不得将服务账户凭据明文嵌入源代码、配置、图片、文档、脚本,如须用,务必经合规机密管理程序保护。\n\n10. 密码重置及账户恢复\n\n重置密码前,必须验证身份。重置链接及临时密码必须为一次性、快速过期,并通过批准渠道发放。\n\n用户变更或重置密码时必须收到通知。临时密码登录后必须立即更改。\n\n11. 技术控制\n\n保存或处理密码的系统必须:\n\n- 严禁明文存储密码;\n- 采用批准的现代带盐哈希算法(如PBKDF2、scrypt、bcrypt、Argon2)加密存储密码;\n- 禁止仅用MD5、SHA-1、SHA-256、SHA-512等快速哈希算法作为密码哈希算法;\n- 为身份认证接口设置速率限制或等效机制;\n- 拒绝常用、弱和已泄漏密码;\n- 允许用户从密码管理器粘贴密码;\n- 技术可行时支持至少64位密码长度;\n- 日志记录安全相关身份认证事件。\n\n12. 疑似泄漏报告\n\n用户发现疑似密码泄漏、钓鱼、异常登录提示、未主动触发的MFA请求或意外披露密码,须立刻报告[安全/IT联系方式]。\n\n13. 例外处理\n\n本策略如需例外,须出具书面说明、风险评估,明确时限,并经[安全/IT领导]批准。可行时,采取补偿性控制。\n\n14. 执行与问责\n\n违背本策略将导致访问权限移除、强制安全培训、纪律处分或按[组织名称]及有关法规采取措施。\n\n15. 策略评审\n\n本策略至少每年及在系统、威胁、法规或组织运营重大变更后复审。\n一份好的密码策略并不是让密码变得痛苦难用,而是消除弱习惯、支持密码管理器、推广 MFA,并在凭据暴露时能迅速响应。让策略可行、易用、聚焦于真实世界的攻击类型,如钓鱼、凭据填充、密码复用和账户被攻破。
","frontmatter":{"date":"May 07, 2026","slug":"password-policy-dos-donts-best-practices","title":"密码策略:最佳做法、禁忌事项与一份可复制模板","description":"了解现代密码策略应要求哪些规范,避免哪些过时规则,并获取一份实用模板供您的组织复制粘贴。","author":"Sascha Pfeiffer","featuredImage":null}}},"pageContext":{"slug":"password-policy-dos-donts-best-practices","lang":"zh","langPathPrefix":"/zh"}},"staticQueryHashes":["2149092236","3128451518","3192060438"]}