受监管行业的密码最佳实践：实用安全指南

密码最佳实践其实可以归结为一个简短却行之有效的清单：使用密码管理器为每个账户生成长而独特的密码，启用多因素身份验证 (MFA)，并且永远不要在不同服务中使用相同的密码。对于医疗、法律和金融行业的团队来说，最大的风险很少是密码过于简单，而是重复使用或被盗用的密码。现在大多数账户泄露事件都是攻击者利用已有的凭据而非猜测的凭据发起的，因此真正的目标是杜绝密码重复使用并启用第二重身份验证。

‍

要点总结

• 密码管理器加上多因素身份验证 (MFA) 可以阻止绝大多数自动化账户劫持攻击。这种组合，而不是记住复杂的密码字符串，才是密码安全的核心。
• 密码重复使用是主要漏洞。行业研究一致表明，大多数人都会重复使用密码，因此一次密码泄露就可能波及所有使用该密码的账户。
• 弱密码通常是可预测的，而非随机的。季节性密码、宠物名字和公司名称正是攻击者首先会尝试的目标。
• 威胁已经从猜测密码转变为窃取密码，因此唯一性和多因素身份验证比单纯的字符复杂性更重要。
• 工作和个人身份信息绝不应混为一谈。将二者分开，可以最大限度地减少任何一方信息泄露造成的损失。

‍

密码管理最佳实践有哪些？

密码最佳实践是指一系列旨在防止账户凭证被猜测、破解、重复使用或被盗用的习惯和控制措施。它们涵盖了密码的创建方式（长度和随机性）、存储方式（使用密码管理器而非便签、电子表格或浏览器）、保护方式（多因素身份验证）以及共享方式（仅通过安全渠道）。现代标准机构的指导原则已不再强制使用复杂的字符规则和频繁更改密码，而是强调密码长度、唯一性和强大的第二因素验证。

‍

为什么密码安全比以往任何时候都更加重要

攻击者的策略已经改变。十年前，人们主要担心的是有人通过尝试大量组合来暴力破解弱密码。而如今，更大的威胁是凭证窃取：攻击者通过数据泄露、网络钓鱼和信息窃取恶意软件（一种能够悄悄从受感染设备中窃取已保存密码和登录会话的软件）获取有效密码，然后轻松登录。根据 Verizon 数据泄露调查报告，被盗凭证是攻击者获得初始立足点的最常见方式之一，而 IBM X-Force 也报告称，大量入侵事件使用的是有效的被盗凭证，而非任何形式的漏洞利用。

‍

这之所以重要，有一个实际原因。如果攻击者能够购买或窃取一个已经有效的密码，那么该密码的强度就无法再保护您。真正能保护您的是密码的唯一性（因此它无法解锁任何其他账户），以及在被盗密码和账户之间设置的第二重验证。对于处理敏感记录的受监管团队而言，这种转变正是以下实践的全部意义所在。

‍

什么因素能使密码更牢固？

密码强度由三个要素构成：长度、随机性和唯一性。长度最为重要。美国国家标准与技术研究院 (NIST) 在其特别出版物 800-63B-4 中建议，作为单因素身份验证的密码长度至少为 15 个字符（并支持长度至少为 64 个字符），而网络安全和基础设施安全局 (CISA) 则建议至少使用 16 个字符。随机性意味着避免使用字典中的单词和个人信息。唯一性意味着每个账户都应使用不同的密码。

‍

随机字符串的一个实用替代方案是密码短语：由四到七个不相关的单词组成，这种短语较长、难以破解，而且更容易记忆。CISA 举例说明，例如将几个不相关的单词组合成一个短语。

‍

‍

以下是实际操作中的区别：

‍

‍

如何创建强密码

最快捷可靠的方法是让密码管理器自动生成密码。如果确实需要手动创建密码（例如，用于解锁密码管理器的主密码），请构建一个密码短语：

‍

1. 选择四到七个互不相关的随机词语。避免使用任何与你、你的雇主或约会日期相关的词语。
2. 将它们合并成一个短语。您可以保留空格，也可以删除空格。
3. 增加长度而非复杂性。较长的短语胜过包含符号的短字符串。
4. 请确保它只在一处使用，不要在其他任何地方使用。
5. 切勿以明文形式存储密码。记住主密码，其余密码交给管理员保管。

‍

完全避免使用可预测的密码模块。攻击者会进行字典攻击（使用常用词汇和已知密码列表进行自动猜测）和撞库攻击（重放从其他数据泄露事件中泄露的用户名和密码对）。常见的泄露密码，例如 123456、admin 和 password（NordPass 的研究中经常出现），以及一些带有上下文信息的密码，例如宠物名字、公司名称或季节和年份，都会立即失效。

‍

停止重复使用密码：这是最重要的解决方法。

如果要改变一个习惯，那就改变这个。安全研究引用的调查显示，大多数人会在多个账户中重复使用密码（福布斯顾问报道的比例约为78%），而SpyCloud的泄露分析发现，在数据泄露事件中，很大一部分用户都重复使用了之前泄露过的密码。重复使用密码会将一次泄露事件引发连锁反应：一个被攻破的服务会将你邮箱的密钥拱手让给攻击者，而你的邮箱又成了其他所有账户的重置路径。

‍

接下来是两条规则。第一，每个服务使用一个密码，没有任何例外。第二，工作和个人账户的密码必须完全分开。你的流媒体服务密码不应该与公司系统关联，公司密码也绝不应该用来保护个人账户。将这种区分视为一种安全措施，而非礼仪：它可以限制影响范围，防止一方的账户安全漏洞蔓延到另一方。

‍

什么是密码管理器？你应该使用密码管理器吗？

密码管理器是一款应用程序，它会在加密的密码库中生成、存储并自动填充您的密码。您只需记住一个强主密码，密码管理器就会记住所有其他密码，包括您永远无法记住的长随机密码。它还会标记弱密码或重复密码，以便您进行更正。美国网络安全和基础设施安全局 (CISA) 以及大多数安全团队都认为，密码管理器是确保每个帐户都能设置强密码和唯一密码的最简单方法。

‍

大致可分为两大类。 Personal 密码管理器适用于个人用户和小团队。 Enterprise 这些解决方案通常是特权访问管理 (PAM，即保护和监控高价值管理凭证的实践) 的一部分，它们增加了集中控制、访问限制、审计和单点登录 (SSO，允许用户只需验证一次身份即可访问多个已授权的应用程序) 功能。需要注意的是：避免依赖浏览器内置的凭据存储功能，因为与存储在专用加密管理器中的密码相比，浏览器存储的密码更容易从被入侵或被盗的设备中提取出来。

‍

启用多重身份验证（MFA）

多因素身份验证 (MFA) 除了密码之外，还需要第二种身份验证方式，例如身份验证器应用程序的验证码、硬件密钥或生物识别验证。由于仅凭被盗或猜中的密码不足以入侵系统，MFA 可以阻止绝大多数自动化批量攻击，CISA 和微软都建议将其作为一项基础控制措施。

‍

并非所有验证因素都同等重要。在支持的情况下，应优先选择基于 FIDO2 和 WebAuthn 标准的防钓鱼方法，包括使用密码密钥（绑定到您设备的加密密钥，可完全替代密码，并作为独立的登录方式，而不仅仅是第二重验证因素）。通过短信发送的一次性验证码是最薄弱的通用验证因素，因为它们容易受到 SIM 卡交换和 SS7 协议攻击，这些攻击可以在网络层拦截短信。美国国家标准与技术研究院 (NIST) 和网络安全与基础设施安全局 (CISA) 都建议，在有更强大的验证方式时，不要依赖一次性验证码。

‍

应该定期更改密码吗？

不，至少对于普通用户账户来说，并非必须按固定时间表轮换密码。NIST 现在建议不要强制定期更改用户密码，因为强制轮换会使用户倾向于使用可预测的密码模式（例如，2025 年夏季密码会变成 2026 年夏季密码），并促使他们把密码写下来。相反，只有在有正当理由时才应该更改密码：例如，已知或疑似账户泄露、收到数据泄露通知，或者您无法再追踪某个凭证。即使您“非常确定密码没问题”，一旦确认账户遭到泄露，就足以构成轮换密码的理由。（高权限的管理员凭证是例外，通常会定期轮换。）

‍

如何安全地共享密码

有时确实需要共享凭证。在这种情况下，共享渠道与密码本身同样重要。切勿通过 Slack、电子邮件或短信发送密码，因为密码可能会被记录在可搜索的历史记录中，被转发，或者在账户被盗用时泄露。请改用密码管理器的安全共享功能，这样可以确保凭证加密，并允许您稍后撤销访问权限。如果密码通过聊天或电子邮件传递，请将其视为已泄露并定期轮换使用。

‍

受监管行业的密码最佳实践

医疗保健、法律和金融机构承担着额外的义务，因为相关账户通常用于保护受监管的数据。在医疗保健领域，这包括受保护的健康信息（PHI，即可识别个人身份的健康数据）。相关框架设定了预期目标，而凭证管理有助于满足这些目标。例如，HIPAA 安全规则要求处理 PHI 的系统必须具备访问控制和身份验证保障措施，而唯一凭证加上多因素身份验证 (MFA) 是满足这些要求的实用方法。（HIPAA 还通过以下方式规范供应商关系： Business 关联协议（或称业务伙伴协议，简称BAA），即规定服务提供商对保护PHI（受保护的健康信息）负责的合同。）

‍

需要牢记一点：合规性和安全性相关但不完全相同。密码策略可能在技术上满足了旧的检查清单，但却遗留了实际风险；看似严格的策略（例如频繁强制更改、复杂的字符规则）在实践中可能不如基于长度、唯一性、密码管理器和多因素身份验证 (MFA) 构建的更简单的策略有效。受监管团队的目标是制定既能经得起审计人员审查，又能真正有效抵御当今攻击者手段的策略。强大且唯一的凭据、多因素身份验证、安全共享和加密保险库支持 HIPAA、SOC 2 和 ISO 27001 等框架认可的控制措施，同时又不牺牲易用性。

‍

常问问题

‍

哪种密码类型最安全？

最安全的密码是由密码管理器生成并存储的长随机密码，因为您无需记住或输入它。如果您必须记住一个密码，那么由四到七个互不相关的单词组成的密码短语既能保证密码长度，又能方便记忆。无论哪种情况，密码都应该是每个账户独有的。

‍

最应该避免使用的常见密码有哪些？

对泄露凭证的研究，例如 NordPass 的年度分析，反复发现最常被攻击的密码是相同的：123456、admin 和 password。任何单个单词、姓名或宠物名称、公司名称，甚至是季节名称加上年份，都会落入同样的陷阱。这些是自动化攻击首先会尝试的密码，因此务必完全避免使用它们。

‍

密码管理器安全吗？

是的，对于几乎所有人来说，一款信誉良好的密码管理器远比其他替代方案（例如重复使用密码、弱密码和便签）安全得多。密码库经过加密，您只需启用多因素身份验证 (MFA) 并保护一个强主密码（最好是密码短语）。这种便捷性也使得在数十个帐户中使用强密码和唯一密码成为可能。

‍

密码应该有多长？

密码越长越安全。美国国家标准与技术研究院 (NIST) 建议单因素密码长度至少为 15 个字符，并支持最长 64 个字符；而网络安全与基础设施安全局 (CISA) 则建议至少为 16 个字符。使用密码短语可以轻松达到所需的长度，而且不会难以记忆。

‍

我应该定期更改密码吗？

普通账户无需定期更改密码。NIST 不建议强制定期更改密码，因为这会助长可预测的模式。只有在出现真正的触发因素时才更改密码，例如收到数据泄露通知或任何安全漏洞迹象。

‍

在浏览器中存储密码安全吗？

对于重要账户，使用专用密码管理器比浏览器内置的密码存储更安全。浏览器存储的密码更容易从丢失、被盗或感染恶意软件的设备中恢复。如果一定要保存登录信息，最好只保存价值较低的账户的登录信息。

‍

我应该如何与同事分享密码？

使用密码管理器中的安全共享功能，该功能可以加密凭据并允许您稍后撤销访问权限。切勿通过 Slack、电子邮件或短信发送密码。如果密码曾经通过这些渠道传输，请立即更改密码。