我相信美国国家标准与技术研究院 (NIST) 发布了美国政府配置基线 ( USGCB，以前称为联邦桌面核心配置或 FDCC)清单，其中指定了美国联邦组织的密码复杂性、生命周期和历史要求。此外，互联网安全中心 (CIS) 发布了各种平台的基准，其中包括类似的建议。

两者之间，最高分是：

• 最少 12 个字符。
• 至少三种字符类型。
• 有效期为 60 天。
• 最短寿命为 1 天。
• 24 个密码内不得重复使用。
• 可能会应用一些特定于操作系统的附加要求。

这些设置应用于操作系统级别。我不确定这两个组织是否有专门针对应用程序或网站的类似规范，但大多数受这些规范约束的组织可能只会使用与操作系统相同的要求。

谷歌搜索任何上述术语应该会发现大量信息。（我以后可能会自己在这里添加链接，或者其他任何人都可以自由编辑它们。）

老实说，所有这些标准的“官方文档”都是不完整的，作为业内的 CISSP真的很烦人。

我的看法是，如果您的软件中存在已知漏洞，那么没有人会批准您。这方面的权威是社区应急响应小组 (CERT)，CERT 会针对漏洞发布 CVE 编号。所有 CERT 都使用通用弱点枚举系统对软件中的漏洞进行分类。

有CWE-521 - 弱密码要求，其中列出了以下内容：

1. 最小和最大长度；
2. 需要混合字符集（字母、数字、特殊、混合大小写）；
3. 不包含用户名；
4. 到期；
5. 没有密码重用。

需要注意的是，CWE系统是一棵树，CWE-521的父级是CWE-255凭证管理。

由于您正在寻找任何监管机构，无论是否适用于您，国防部指令 8500.2，信息保障实施规定：

对于使用登录 ID 作为个人标识符的系统，密码至少是区分大小写的，由大写字母、小写字母、数字和特殊字符组成的 8 个字符组合，包括每个字符中的至少一个（例如， emPagd2！）。创建新密码时，至少必须更改四个字符。

NIST SP 800-63b [草稿] 现在为不同身份验证级别的密码提供详细指南。

如果订户选择，记忆的秘密（又名“密码”）的长度应至少为 8 个字符；CSP 或验证者随机选择的记忆秘密的长度应至少为 6 个字符，并且可以完全是数字。