员工和客户的密码卫生条件差仍然是数据违规的主要因素，尤其是随着计算能力的降低，强力攻击变得更容易。这就是为什么16个字符的密码与大写字母、数字和特殊字符混合的原因是推荐的安全最佳做法。一些组织还鼓励员工每年至少更改一次密码。

但这导致人们抱怨必须记住复杂的字符串。

现在，美国国家标准和技术研究所（NIST）正在推荐一个可以解决这个问题的政策：允许长密码。

AA部分是本周发布的关于认证和生命周期管理的指南草案的一部分，该机构建议CISOS考虑允许使用多达64个字符的短语，而不必包括CAP、数字或特殊字符。

“鼓励用户尽可能多地使用他们喜欢的字符（包括空格）制作存储的秘密，从而帮助记忆，”说。

很可能你的组织会被黑客攻击，而不是其他任何方法，而且很可能是攻击者利用...

另一个供应商加入了大量的声音，敦促信息证交会（InfoSec）的专业人员启用两个因素或多因素认证，在这些情况下，他们可以……

不仅如此，密码短语不应该定期更改，除非存在妥协的证据或用户提问。

加拿大网络安全专家说，这项工作可能奏效。“我通常同意这样的想法:更长的密码不一定需要(频繁的)旋转,”说，总部设在纽约的公司财务顾问道衡(Duff&Phelps)全球eDiscovery、数字取证和信息安全副总裁NicholasJohnston说。

“非常长的密码（或此实例中的密码）远不可能屈服于强力攻击，这种攻击是要求密码旋转的初始灵感之一。但是，如果我们采用了长密码，但不要走出糟糕的密码再使用习惯（即，对于许多站点和服务使用相同的密码），它仍然存在风险。如果使用过超长密码的站点之一遭到破坏，则必须更改所有密码。密码轮换会稍微减轻风险。更好的控制只是为每个站点/服务提供不同的密码，并使用像密码管理器这样的东西来跟踪它们。”

弗雷斯特研究公司的身份和访问管理分析师MerrittMaxim说，大多数安全专业人员都说密码应该是长的和复杂的。他指着斯坦福大学的学生和教师指南（管理简单、丰富多彩）的一个例子。在这里见。)因此，对于Maxim，NIST的建议已经遵循了密码最佳实践。

但是，他补充说，“这种方法的部署将受到用户体验和所得到的支持成本的限制。”

NIST尚未正式批准该建议，仍在接受评论。

对密码长度的任何更改将取决于登录或应用程序接受更长字符串的能力。而且长密码不否定两个因素认证的重要性，这减轻了窃取的密码。