密码强度计在理解什么使密码良好时通常是错误的。他们通常会要求您选择特殊字符，而很少考虑您生成的密码的可猜测性。请参阅Telepathwords以了解知情密码强度计的外观示例。

例如，P@s5Word。大多数密码强度计都认为它非常安全，但是一个好的密码破解工具将始终检查字典单词的变体（尤其是像password这样的流行词），这意味着您没有从 26 到 95 的输入空间移动，而是 26 的输入空间 + 该输入空间中每个单词的几十个排列。这仅仅是由于人类制作密码的方式。我们实际上并没有创建随机密码，因为我们不会记住它们。

许多密码研究的重点是帮助人们创建更复杂的密码，记住更长的密码，甚至通过在身份验证 UI 上提供一个图像来提醒密码，这通常忽略了人们选择短而相似的密码来应对的事实他们需要处理的凭据数量。人们不想根据您的 UI 提供的某些秘密/提示或更长或更复杂的密码来选择密码；他们想记住的密码越来越少，因为他们已经受够了！请参阅 Sasse 等人的这篇论文。关于对 NIST 员工进行的身份验证研究。此外，还有一些关于人们在线管理多少证书的实地研究（例如Floriencio 和 Herley 2007纸，已经有点旧了；可能现在人们有更多的帐户）。

一旦您意识到这一点，并且（并非总是加密的）密码数据库每天都会被盗（因此主要问题不是密码强度而是密码处理和存储），您就会开始了解问题在于大多数服务提供商不知道他们为什么要应用策略，只是模仿他们看到其他人所做的一切......随着时间的推移，使不可用和不可扩展的密码要求和策略永久化。

过去曾努力通过OpenID等服务实现联合身份，但服务提供商更愿意保留对客户身份的控制权，这有几个原因，这意味着更多不同的身份验证接口和更多用户密码。

有一些有趣的举措可以替换密码（请参阅Pico），但恐怕您不应该期望一夜之间有任何行业改进。

NIST已经生产了一个。并且有充分的理由限制最大密码长度。

此外，根据您所在的行业，标准/要求可能已经定义。例如PCI-DSS或国防部。这里的问题是有多种标准，没有单一的标准。

必须设置界限，既是上限又是下限。如果是密码，一个例子是 PBKDF2-HMAC-SHA1（假设用户随机生成他们的密码）一种常用的密码散列算法。如果密码长度超过64 字节，它将被截断为 20 字节（通过将 SHA-1 哈希应用于密码），否则它将超过块大小。当然，这仍然远远超过 12 个字符，但如果您最初计划使用 70 字节长的密码，它将减少到 20 字节，否则算法将无法使用密码。

编辑：

评论中列出了一个更有效的示例。没有理由使用大小为几 MB 的密码，因为与例如 1024 个字符的密码相比，这不会增加任何安全性。拥有如此大的密码可能会导致应用程序出现意外行为。

问题是您首先无法检查密码的强度。或者更具体地说：我们可以识别一些弱密码（太短、明显的模式），但我们不知道强密码的样子。

长度和“特殊字符”的存在都不会自动使密码变得强大。并且仅包含字母数字字符的相对较短的密码不会自动出错。因此，任何密码策略充其量只是过滤掉明显垃圾并让人们考虑密码安全性的粗略尝试。

密码的通用标准根本不可行，甚至可能不明智。可能对一个受众有效的策略可能对不同的受众完全失败。例如，我主要使用密码管理器生成随机密码。强迫我遵循某种模式是荒谬和烦人的。另一方面，同样的政策实际上可能会帮助那些技术经验较少的人。好吧，你不能两者兼得。我认为每个人都能同意的唯一标准是最小长度。

除了史蒂夫的回答之外，因为有任何方法可以让你的密码变得疯狂，所以它很容易受到攻击，最好的建议是让它随机且长。多久？

如果 22 是 62 个字符字母的随机抽样：az、AZ、0-9，它似乎是正确的。

并且它们在站点之间应该是独一无二的。

但是我如何记住所有这些随机的、长的、唯一的 garblygoop 密码？？？你没有。使用密码管理器！