支持随机密码生成器（如lastpass）的密码策略

Question

我想拥有大多数密码管理器和生成器（如LastPass和chrome的密码生成器）支持的密码策略。

Answer 1

使注册和登录尽可能简单，遵循网络可访问性准则，并且没有密码政策。

Bruce Schneider summed up the latest NIST password best practices.

1. 没有密码规则，它们只会干扰生成的密码。
   • NIST：“请勿强加其他组成规则（例如， 不同的字符类型）。”
   • NIST：“鼓励用户使用自己喜欢的任何字符（包括空格）尽可能长地存储所记住的秘密，从而有助于记忆。”
   • NIST：“至少要使用64个字符，以支持密码短语的使用。”
2. 不要使密码过期。
   NIST：“不要求随意更改记忆的秘密 （例如，定期），除非有用户要求或证据表明 身份验证者的妥协。”
3. 确保您与密码管理器兼容。

最后一个意味着对注册和登录不做任何特殊的事情。基本上遵循guidelines for web accessibility。

• 使用带有标准输入的HTML表单
• 使用<label>
• 使用文本或电子邮件类型输入用户名
• 使用密码类型作为密码
• 为输入内容使用明显的名称
• NIST：“在字段中支持复制和粘贴功能，用于输入存储的机密，包括密码短语。”
• 请勿动态更改表单
• 请勿更改名称和ID
• 确保表单在页面加载时呈现

并使用一些流行的密码管理器测试您的注册和登录。不要忘记手机！

另请参见

• 1Password's recommendations
• Making password managers play ball with your login form
• Web Accessibility For Developers
• NIST Special Publication 800-63B Digital Identity Guidelines Authentication and Lifecycle Management第10.2.1节“记忆的秘密”