GCHQ发布了一份关于密码策略的报告，旨在“减少用户的工作量，课程对IT部门的支持负担，并打击不必要的复杂密码可以鼓励”错误的安全感。我们看看他们的一些最重要的建议…

GCHQ声称密码的增加主要是由于在线服务的激增，包括政府和更广泛的公共部门提供的。这种密码使用的激增，以及越来越复杂的密码要求，对大多数用户的需求置于不切实际的需求。正如他们所说，不可避免的用户将制定自己的应对机制来应对“密码过载”，其中包括编写密码，重新使用不同系统的相同密码，或使用简单且可预测的密码创建策略。

攻击者使用各种技巧来发现密码，包括：手动密码猜测（使用诸如出生日期或宠物名称等个人信息）;通过电子邮件和消息拦截密码;‘shoulder surfing’（观察某人在他们的办公桌上打字密码）;在输入设备时，安装键盘高软件以拦截密码;找到不安全存储的密码 - 仅为少数名称。那个报告， 密码指导：简化您的方法，免费下载 GOV.UK. 并制作七个主要建议，其中包括：

1）最强的密码由字典中的四个随机单词制成

显然，'Marmoset-Belgium-Peanut-solstice'会发出一个很好的密码，因为它很容易回忆，但很难猜到。

2）沟通复杂密码

一个Bletchley Park风格的字母，数字和特殊人物都可以过于苛刻和反复富有成效。

3）使用密码管理器

尽管注意到“像任何安全软件一样，它们不是坚不可摧的并且是一个有吸引力的目标”，密码管理软件（甚至是安全机柜）向“帮助用户管理密码”提供“制裁机制”。

4）为所有远程帐户实施“双因素身份验证”

具有远程登录的工作人员应该必须通过更高水平的安全性，例如“双因素认证”以证明他们的身份。

5）切勿使用与家庭和工作相同的密码

用户应该了解工作密码以保护重要资产;重新使用工作和家庭之间的密码会妥协此安全性。

6）使用帐户锁定，节流或监控，以帮助防止蛮力攻击

帐户锁定（用户有有限的尝试输入他们的密码），限制（连续登录之间的时间延迟）和保护监控（检测恶意行为）都是GCHQ报告中的。

7）在部署设备或软件之前更改所有默认密码

显而易见的，也许，但是许多公司仍然没有服从。

阅读更多关于网络犯罪：

网络攻击：过去，现在和未来

网络犯罪：每个商业领袖应该知道的10件事