披露：我在被引用的公司工作，我不知道如何在这篇文章中得到建议，而不是像推销一样。开始。

在我看来，“记忆密码”和“我们的平均用户超过 70 岁”并不能很好地结合在一起。您是否考虑过密码以外的解决方案？你想要的东西是：

• 一个物理对象；即非记忆
• 便宜的医生办公室分发
• 即使对于（可能严重的）技术挑战，也易于使用。
• 满足本产品的安全（和/或合规性）要求。例如：您是否可以使用物理对象而不是密码？如果您将其与弱密码或基于知识的问题集相结合会怎样。

您可以考虑让医生办公室生成随机密码并将其打印出来，但我们都知道表单x7a8Cqr4dPt20的密码对用户不友好。

想到的解决方案是 Entrust Grid Cards （免责声明：可能有其他供应商具有类似功能，但我不知道有）

医生办公室可以在他们的标准办公室打印机上打印出一张网格卡；在使用网站/应用程序时，用户将面临从网格中提供三个单元格的挑战，如果他们丢失了纸张，那么他们会回到医生办公室并打印一个新的。

我知道这并不能完全回答所提出的问题，但另一种方法是接受这样的事实，鉴于您的用户社区，违规迟早会发生，并采取行动以尽量减少随后发生的伤害。

您写道，您的应用程序“帮助他们收集生理数据并将其提交给他们的医生”。那么，为什么应用程序必须让他们能够读取历史提交的数据呢？如果应用程序是只写的 - 填写今天的数据，可能通过审查屏幕确认一切如用户所愿，然后按“提交”，数据被传送到手术服务器并被应用程序遗忘 - 然后该应用程序的危害不会危害任何存储的医疗数据。您仍然存在有人恶意提交噪声数据的问题，但您不再有健康记录隐私问题。

任何关于保护我们敏感数据的政策的建议

不要构建一个可以实现它的应用程序！

忘记密码。

让他们将手机带到医生办公室进行配对。

（非技术，但经过培训的）医疗专业人员验证患者的身份（他们应该已经这样做了吗？），并使用 QR 码、一次性密码或您喜欢的任何机制将手机应用程序链接到系统。

然后，手机会保存这些凭据，并且不需要再次输入它们。

患者可以选择在应用程序上设置密码，以防止他们的孙子使用它。但这并不是保护系统免受没有物理访问的攻击者所必需的。

编辑：如果患者不愿意将手机交给医务人员（可能是接待员），您可以让他们向患者展示患者必须扫描的二维码。考虑到您的目标受众，我怀疑他们中的许多人会更愿意让接待员这样做。

假设您决定“至少 8 个字符、1 个符号、1 个数字等”。是适当随机的，但会导致无法记住密码。

大约有 70^8 个可能的 8 字母密码（假设 52 个字母、10 个数字和 18 个符号）。这提供了 5.8e14 密码。

通过连接 100,000 个 4-5 个字母单词列表中的 4 个单词随机生成的密码将为您提供 16-20 个字符的密码。这提供了 1e20 个可能的密码。这足以让员工运行程序 100 次，直到他们（或客户）看到他们喜欢的密码。

然后只需打印出密码并将其交给客户。

这种方法的缺点是您最终会得到更长的密码。