保护受控未分类信息 Rev 3

基于密码的身份验证适用于在单因素或多因素身份验证中使用的密码。较长的密码或口令短语比较短的密码更可取。强制的组成规则虽然提供了有限的安全性，但会降低可用性。然而，在某些情况下，组织可能会选择建立并强制执行某些密码生成规则（例如，最小字符长度）。例如，当密码被遗忘时，可以进行账户恢复。受到密码学保护的密码包括加盐的单向密码哈希。常用、泄露或可预期的密码列表包括从之前的数据泄露中获得的密码、字典单词以及重复或连续字符。该列表包括特定上下文的词语，例如服务名称、用户名及其衍生词。在系统登录后立即将临时密码更改为永久密码，可确保在最早的机会实施必要的认证机制强度，并减少认证信息泄露的风险。可以使用较长的密码和口令短语来增加密码的复杂性。