公司密码要求 12 位以上,每次修改不能用历史密码

公司要求 15 位以上，但同时购买了 1Password 企业版…

很正常，我觉得没有什么记不住的。每天都要输入密码，你肯定记得住。

没事呀，ab 两个密码 a 换 b b 换 a

不能保存密码吗

写在便利贴贴屏幕上，入职到现在已经换了两张了。。。。公司要求 12 位，大小写数字特殊字符至少使用三种。

@duanran 这样不被开除？

@WhatIf 科研机构上班，不涉及知识产权内容，就我个人所在的单位大家几乎都没有什么保密意识。。。。。而且每次钓鱼邮件还会有很多人上钩，IT 就会发邮件要点开链接的同事上报连 teamviewer 清病毒 /间谍软件

@janxin #6 太折腾员工了，有这种需求的应该采购密码学设备

年月按照格式不同就可以占到 4-6 位，剩下的固定词组自由发挥下不就好了…

我密码里有数字 000，下次换成 111，接着 222，接着 333，如果 999 了我还在这，从 0000 重新来过！

Bitwarden 自动生成并且记录

一个月换一次 233333

@Har01d 曾经我也是网站名称+年份作为密码。但是太多之后，年份乱了，网站名称规律也乱了。不常用网站每次输密码都得尝试各种组合

然后每次都得写小纸条贴在手边，更不安全。

1password 我都用 26 位密码

每次用一句诗的首字母啊
glgjssyqyhfbqz

@tyx1703 #48
这不是给网站注册用的
这是给公司内部应付密码轮转机制用的

好在我公司用密码的场合极少，大部分用动态口令和私钥和证书

@ksedz 哈哈哈，是个狠人

给自己定个周期性目标，英文或者拼音 Capital@Case
既记住了密码，又记住了目标

就在原密码上加 1 啊

xxxxxxxxxx01
xxxxxxxxxx02
......

密码管理器那么多～

@drawstar 我也一样。

@drawstar +1s

+1s, +2s, +3s, +4s, +5s
又续命有改了密码，多好。

@tyhunter 短期目标，每次输入还能提醒你这个目标
我曾经的密码包括
Read@More@Books
Do@The@F*cking@Essay
Be@More@Patient
Go@Get@Some@Water
当然，这个只能用于主密码，比如操作系统密码，其他还是 lastpass

~!@#$%^&*()
轮着一波～ ～

以前公司都直接把密码贴在桌子或者电脑屏幕上

密码这么设置，就不怕内网某台机器不巧因为钓鱼被弹了个 shell 出去，然后内网就被日穿了吗？

https://pages.nist.gov/800-63-3/sp800-63b.html#-511-memorized-secrets
NIST 给出的记忆秘密认证法（即密码（ password passphrase PIN ）登录）指导方案。列举重要几条如下：
（必须=SHALL，应该=SHOULD，可以=MAY，不得=SHALL NOT，不应=SHOULD NOT ）

对于自选密码：
**必须**至少 8 字符
**应该**能支持至少 64 字符
**应该**支持 Unicode 密码，每个码位均**必须**视为一个字符，**应当**进行归一化
**可以**将连续空格替换为一个空格，前提是替换后的结果仍然有 8 位以上

对于机选密码（ CSP ）：
**必须**至少 6 字符
**必须**采用被核准的生成器

对于任何密码：
**不得**允许存储密码提醒
生成／改变密码时，**必须**先验证该密码是否在一个（常用密码）列表中。该列表**可以**包括但不限于：从前泄漏过的密码、字典词、重复的或者有规律的字符、上下文有关字符。（根据译者的理解，是密码的全文而非密码内存在此种字符，简单地说就是系统自备一个暴破字典）如果密码在列表内，那么**必须**告知用户需要使用不同的密码，并告知被回绝的原因，并要求一个新密码。
**应该**提供设置强密码的指示，比如密码强度量计
**必须**提供一个限流措施，限制错误登录的次数
**不应**包含任何其他限制。
**不应**任意要求修改密码（包括定期），但是，**必须**在有证据表明该密码已泄漏时要求修改密码。
**应当**允许 “粘贴” 密码，以促进密码管理器的使用，这很常见并在多数情况下用户会更可能使用更强的密码。

上述 “**不应**包含任何其他限制。” 后面用括号直接举例了 “要求密码包括不同字符类型”。
除非你有个很好的理由，否则不要这么做

password@1901
1902
1903
一个月改一次

前边相同 后边用三个数字的 shift 到期一次换一次

@tyhunter 有啊，我们公司的域控策略是 30 秒自动锁屏。

原密码+1 接着续
已经从 00 续到 40 多了

公司电脑用加密软件·····不用密码·····

@no1xsyzy 所以我说这种域控政策强制要求改密码的公司 IT 就是变态。。。

@tyhunter 我们公司的域控策略是 30 秒自动锁屏。是不是更变态！公司的同事们全体向主管提出了抗议和愤慨，主管居然说，你们要表现好才可以把锁屏时间延长，你说变态不变态，尼玛的，表现好与不好和把锁屏时间延长有毛线关系啊？艹的咧！

@tyhunter 而主管自己的电脑却不受 30 秒自动锁屏限制。我日了狗了。

想个简单的，然后 md5

哈哈，一个因为不够专业而被制定出来的脑残安全标准在被废弃了之后果然还被很多脑残企业使用。
这种脑残标准应用的结果就是到处都是类似 qazwsxEDC001 这样的弱口令。

姓名缩写+生日 + 编号，每次改+1

固定密碼+當前年月
很好記啊

@tyhunter 其实 NIST 也是这一版才改正了
那个包含 “定期修改” 和 “类型混合” 两个错误的版本传了很久了，我看也会继续存在一百年
相对来说，各网站还是先搞定数据库存明文密码或者单 md5 的问题比较好……
常见简单密码用 sqlmap 的时候会自动被反 md5 的……

简单解决方案：公司名字+工号+加数字
下次要修改密码，只改末尾数字，从 0~无穷，公司倒闭还是不会重复的。

截取特定长度(取 hash(上一个密码+特定字符串)取 hash)

密码加年月不就好了。。我在公司就是这样干的

两句古诗，音序

pwgen，至于怎么记就不知道了

我用了 qq 邮箱，哈哈

我司新规，密码要求大写，小写，数字，特殊符号必须同时有，8 位起步，短信或者 OTP 在线验证。而且 30 天一换，过期不换锁账号，需要分公司打报告给集团才能解开。。。。唯一优点就是，一号走遍天下。哈哈

我公司也要每季度改密码，于是只能把自己的 lastpass 装公司电脑

0001->0002->……000N

买本诗词（或者两本带个备份）。然后就是一般密码本操作。拼音按缩写一次一句，用过划掉

买本唐诗三百首 还能学习古诗。。。。