很大程度上取决于上下文 - 请参阅@nealmcb 评论。

如果是针对操作系统，现在大多数操作系统都提供“首次使用时更改”的设置

如果它用于您控制的应用程序，请不要为用户提供默认密码 - 为他们生成一个在首次使用时过期的唯一密码。

如果它是从供应商处发货的设备 - 更棘手，除非您可以说服供应商为您执行此操作。

总之 - 各种不同的选项，但您需要将问题放在上下文中，否则您可能无法获得有用的答案。请参阅常见问题解答中的“什么背景”部分。

我读过的一种方法是，有一个默认密码，上面写着“管理员的名字”，有点像密码。大多数用户改变了这一点。你能想到别的吗？

使用没有默认密码的系统。

注册了一个新用户。在她的注册包中，连同她的新用户名、电子邮件地址等是她的初始密码。

这里需要考虑几件事情。

首先，用户名和密码是如何传递给用户的？它是通过硬拷贝传递，还是通过电子方式传递给中介（即：主管或行政助理）？如果是前者，则应将其保存在从系统管理员到用户的密封、不透明、防篡改的包中。如果是后者，系统管理员应通过加密电子邮件将信息传递给中间人，然后中间人使用安全包（如前所述）将其传输给用户。但是，最好不要有第三方参与此交易 - 理想情况下，只有系统管理员和用户应该知道或可以访问首次密码。更可取的是只有用户拥有它，但在某些情况下这是不可能的 - 例如域或电子邮件帐户。

其次，首次密码应始终是唯一的，并且不能由用户独有的任何信息确定。确保这一点的最佳方法是使用随机密码生成工具，并且不要在用户之间重复使用生成的密码。理想情况下，用户名也应该与任何个人身份信息无关。

第三，确保首次更改密码的机制在很大程度上取决于创建帐户的环境。许多系统都可以在帐户上设置一个选项，以强制用户在下次登录时更改密码。如果可以，这是最有效的手段，应该使用。对于没有此类功能的系统，您将非常依赖用户来遵守公司政策。这可以通过在注册包中包含有关更改密码的清晰而突出的建议来帮助。此外，使用非常长且复杂（使用所有可用字符类型的大约 20 多个随机字符应该可以）的首次密码自然会使用户更倾向于更改它。

最后，如果您采取上述适当措施，审核密码更改可能会很困难。如果您使用密码破解工具（例如 Ophcrack 或 LophtCrack）来检查这一点，您必须在创建彩虹表时将每个人的首次密码添加到彩虹表中。一些系统包括检查用户密码年龄和上次登录时间的能力 - 这些可以检查帐户的创建日期和用户的开始日期，以查看用户是否在第一次登录时更改了它。除了这些方法之外，上述技术的高安全性使得验证首次密码更改几乎与利用首次密码本身一样困难。

部署了一个新硬件。在出厂状态下，它有一个默认的管理员密码，因此您可以进入并配置硬件。

这里有一些措施可以使首次密码更加安全，并有助于促进和验证他们的更改。

第一部分来自材料采购。尽量只购买以下硬件：

• 没有首次密码，并且在系统管理员配置密码之前不会操作。

• 如果它具有首次密码，则使用为每个设备唯一生成的密码，并且不会在设备之间重复使用。

在此之后，确保它们被更改的唯一方法通常是通过对系统的实际审核，检查首次使用的凭据是否仍然有效。

定期测试密码，并确保它在您的字典中。