FBI：以長密詞取代密碼、不應設定密碼變更期間或次數上限

有鑒於密碼難記造成的反效果，FBI建議用戶，最好改用15字元以上的密詞（passphrase）取代複雜的密碼，且不應設定多久變更一次或密碼輸入錯誤幾次就鎖定。

密碼是手機、電腦、郵件及各種個人帳號登入驗證的主要驗證方法，然而太多研究顯示，大部份用戶偏好使用好記的密碼，像是1234、123456、或是password，有些人甚至在多個不同帳號上都使用相同的簡單密碼。即使到了2019年，許多人都還是存在這種不良的上網行為，像是上千名公眾人物的推特帳號，遭一名學生以1234或iloveyou的簡單技倆破解密碼。

因此許多網站或企業開始要求用戶設定複雜的密碼，像是強制要求具備大、小寫英文字母、阿拉伯數字及特殊符號等。但美國標準與科技研究院（NIST）認為，密碼的長度比複雜度更為重要。

波特蘭FBI依據NIST的理論，建議企業IT人員或一般用戶，與其使用複雜的短密碼，應該改用更長的密詞（passphrase），最好由幾個字詞、最少15個字元組成。超長密詞不但比密碼方便記憶，而且能增加破解難度。例如VoicesProtected2020WeAre就是夠強的密詞，若能加入數個不相干的字更好，如DirectorMonthLearnTruck。

FBI建議，企業IT人員最好要求使用者使用15個字元以上的密詞，不要有大、小寫或特殊字元。同時應只在IT認為網路遭駭時，才要求用戶變更密碼。網管人員最好能掃瞄所有人的密碼，看看是否用了被破解率高的字典字詞當密碼，也不得提供密碼「提示」。

FBI也提醒IT不應再實施帳戶密碼輸入幾次就鎖定的政策，否則駭客可能故意發動機器人攻擊，反讓用戶被鎖住而無法使用電子郵件等帳號。

現在許多人會使用Vault程式或密碼管理器，來儲存眾多密碼。有人擔心如果vault被破解了，可能反而讓攻擊者取得所有密碼，但是安全專家普遍認為，Vault使用利大於弊。FBI也建議IT經理們不妨研究一下。