关于密码的一切都很不方便，从创建密码到记住密码，再到使用密码。我们甚至还没有谈到保护密码。

不幸的是，恶意黑客是密码爱好者。脆弱的密码让攻击者很容易踏入大门。

良好的密码做法（创建强密码并有效管理它们）是网络安全和改善企业整体网络安全态势的重要组成部分。

请考虑以下最佳做法，以帮助提高密码安全标准，并降低网络风险。

1. 忘记复杂性，改用长密码短语

多年来，常见的想法是，长、复杂和难以记住的密码（例如N#JlwB%”+30~Qjok;4=8)F）是最好的。事实证明，把几个单词串在一起作为密码更安全。密码短语也更容易记住，所以用户不太可能把它们写下来。考虑创建混合大写字母、小写字母和特殊字符的密码短语。

企业应为可接受的密码设置参数，并使用企业密码阻止列表，以防止员工使用密码、密码短语和密码组合，例如Password1和123456，这些密码、密码短语和密码组合很弱且容易被猜测。

测试密码和口令强度

Security.org的《我的密码强度如何？》称，计算机可以在大约32亿年内破解密码N#JlwB%”+30~Qjok;4=8)F——即32,000,000,000,000,000,000,000,000年。另一方面，计算机可以在33亿年内破解密码短语CatClimbsTreeEats1000Mice？——即33,000,000,000,000,000,000,000,000,000,000年。

你认为哪个更容易记住？

2. 不要重复使用密码

无论员工使用的是密码还是密码短语，密码安全的关键部分是为每个登录帐户使用唯一的密码。你没看错：每一个。

虽然重复使用最喜欢的密码很诱人，但这样做会带来巨大的风险。根据《2025年SpyCloud身份暴露报告》显示，在2024年被入侵的账户中，70%的账户使用被盗的登录凭证。

如果攻击者在购物网站上泄露了用户的密码，那么他们就相当于获取登录每个网站的登录凭据。当员工在个人和公司帐户之间重复使用密码时，这尤其成问题。

3. 使用密码管理器

每次登录都有唯一的密码或口令意味着有很多密码。根据最新的NordVPN研究，员工平均拥有87个与业务相关的密码，还有168个个人帐户密码。

除非员工有完美的记忆力，否则他们可能需要工具来帮助他们记住那些复杂的密码和口令。

建议员工切勿将密码写在便笺上或将其保存在桌面上的文件中。相反，提供企业级密码管理器。这些安全应用程序存储所有唯一的密码，并根据需要生成新的密码。大多数密码管理器可以在多个设备上同步，因此用户在需要时永远不会没有重要的密码。另一个很棒的功能是网站验证。如果用户单击网络钓鱼链接并连接到B0x.com而不是Box的公司实例，密码管理器将不会自动填充他们的密码。

4. 不要共享密码

这应该不言而喻，但需要不断重复：永远不要与同事、家人或朋友共享密码。

2025年密码管理器调查发现，27%的用户与公司外的人共享了他们当前的工作密码，2024年CyberArk调查发现，30%的员工与当前同事共享了他们的密码。

共享密码会使用户和组织面临身份盗窃、数据泄露、合规性问题、帐户泄露和数据丢失。

5. 审查密码更改的周期频率

多年来，建议用户每90天更改一次密码。对于某些用例来说，这仍然是一个很好的经验法则。例如，如果一家公司使用单点登录与MFA相结合，90天可能很不错。使用无密码身份验证的公司可能会确定每年更改密码和口令就足够。在高灵敏度用例中，30天甚至15天可能是合适的时间框架。

最重要的部分是应用治理实践，并与企业合作，确定组织的最佳密码更改周期，作为更广泛的企业密码政策的一部分。

话虽如此，如果企业认为用户的密码被盗，应该要求所有员工立即更改密码，无论周期频率如何。

无密码适合在哪里？

尽管围绕无密码身份验证的炒作，并承诺改善用户体验和提高安全性，但密码仍然是身份和访问管理的组成部分——而且它们不会很快消失。

这是因为“无密码”这个词跟你想的可能不同。这个无密码与无服务器PaaS的用法相似——事实上，PaaS确实有服务器。

通过使用替代身份验证因素，例如生物识别身份验证（例如面部识别和指纹）以及其他属性，包括设备指纹和地理位置，采用无密码方法的公司可以将用户在特定日期输入的密码数量减少到零。移动设备用户也受益于无密码方法：按压阅读器即可解锁设备。

然而，在所有这些情况下，仍然设有密码、短语或代码可用作为后备方案，以防生物识别或基于属性的身份验证措施失败。任何拥有这些凭据的攻击者仍然可以访问你的设备或银行应用程序，而无需指纹。因此，即使使用所谓的无密码身份验证，密码安全仍然很重要。

6. 采用MFA

启用和强制执行MFA至关重要。如果企业需要MFA，并且攻击者获得了员工的凭据，攻击者将无法立即访问该帐户。

MFA很简单，就像员工在移动设备上接收一次性密码或从密码管理器中自动填写一次性密码。大多数组织（例如银行、医疗系统和服务提供商，包括微软和谷歌）都为个人和专业账户免费提供MFA。

7.培养安全意识

企业安全意识培训非常有意义，可从长期改善密码安全。在企业培训中包括以下与密码相关的最佳做法：

• 切勿连接到不安全的网络。不安全的网络（例如公共Wi-Fi），似乎很有用，但它们也可能吸引攻击者，他们希望使用中间人攻击、数据包嗅探和会话劫持窃取用户凭据。
• 仅访问安全网站。在访问URL之前，请务必检查URL的合法性。攻击者创建模仿真实网站的假网站。检查拼写错误、可疑的额外单词和不寻常的字符。请记住，攻击者甚至可以伪殳HTTPS，很多人用它来表示一个安全的网站。使用在线URL检查器来验证URL真实性，并尽可能启用MFA以获得额外的安全层。
• 了解如何发现网络钓鱼攻击。攻击者使用包含虚假密码请求的网络钓鱼和社交工程骗局来欺骗用户无意中分享他们的密码。了解如何发现这些尝试。此外，告知员工，虽然该组织有电子邮件安全控制，但他们不会阻止每封网络钓鱼电子邮件进入他们的收件箱。同样，请注意旨在获取登录凭据的钓鱼、短信钓鱼和深度伪造攻击。
• 遵循企业密码恢复程序。如果用户忘记密码，请告诉他们遵循企业密码恢复策略。这可能包括使用一次性密码或安全提示问题。企业绝不应该使用基于易于猜测或公开可用的信息的安全问题，例如用户的婚前姓氏或孩子的名字。始终让所有员工都能访问密码恢复策略，并确保他们理解这些策略。
• 了解企业帐户锁定政策。企业使用帐户锁定策略来防止基于身份验证的攻击。此类策略阻止用户在尝试失败次数后，在一定时间内尝试登录。始终让所有员工都能访问帐户锁定政策，并确保他们了解这些政策。
• 知道何时致电 IT。最后但并非最不重要的是，如果员工怀疑自己的登录信息被盗，请通知他们的经理和 IT 部门。