问规定密码长度的规定？

EN

我认为，美国国家标准和技术研究所(NIST)发布了美国政府配置基准(USGCB，以前称为联邦桌面核心配置( FDCC) 核对表 )，其中规定了美国联邦组织的密码复杂性、生存期和历史要求。此外，因特网安全中心(CIS)发布了各种平台的基准，其中包括类似的建议。

在两者之间，最高分是：

• 最少12个字符。
• 至少有三种字符类型。
• 60天后到期。
• 最低寿命为1天。
• 24密码内不得重复使用。
• 可以应用一些特定于操作系统的附加要求。

这些设置在操作系统级别应用。我不确定这两个组织是否有专门针对应用程序或网站的类似规范，但大多数服从这些规范的组织可能只会使用与操作系统中相同的要求。

谷歌搜索上述任何一项都会发现大量的信息。(我以后可以自己在这里添加链接，否则任何人都可以自由地编辑它们。)

老实说，所有这些标准的“正式文档”都是不完整的，作为行业中的CISSP，它真的很烦人。

我的看法是，如果你知道你的软件中的漏洞，就没有人会批准你。这方面的权威是社区应急小组(CERT)，CERTs为漏洞发布CVE编号。所有CERT都使用共同弱点枚举系统对软件中的漏洞进行分类。

有CWE-521 -弱密码要求，它列出了以下内容：

1. 最小和最大长度；
2. 需要混合字符集(alpha，数字，特殊，混合大小写)；
3. 不含用户名；
4. 到期；
5. 不能重复使用密码。

应该注意的是，CWE系统是一棵树，CWE-521的父级是CWE-255全权证书管理。

由于您正在寻找任何监管机构，无论是否适用于您，国防部指令8500.2、信息保证实施说明如下：

对于使用登录ID作为单独标识符的系统，密码至少是大小写字母、小写字母、数字和特殊字符的区分大小写字母、数字和特殊字符的组合，至少包括每一个字符(例如emPagd2!)。创建新密码时必须至少更改四个字符。