NIST Special Publication 800-53 Revision 5.2.0 Rev 5.2.0

基于密码的身份验证适用于所有密码，无论它们是在单因素还是多因素身份验证中使用。长密码或密码短语优于较短的密码。强制的组成规则提供的安全性提升有限，同时会降低可用性。然而，组织可能会选择为密码生成制定某些规则（例如）。在某些情况下（例如长密码的最小字符长度），可以执行此要求，并可在 IA-5(1)(h) 中强制执行。例如，当密码被遗忘时，可以进行账户恢复。经过加密保护的密码包括带盐的一次性加密哈希密码。常用的、易被攻破的或预期的密码列表包括从以前泄露的数据集中获取的密码、字典词汇以及重复或连续的字符。该列表还包括特定于上下文的词汇，例如服务名称、用户名及其衍生词。