Et passord bør være lett å huske og vanskelig å gjette, og bør ikke kunne føres tilbake til brukeren. Disse kravene er selvmotsigende, men dersom man tenker på en hel setning, for eksempel: ”5 rosa Elefanter fløy til de 7 månene” og bruker de første bokstavene i hvert ord og tallene, blir passordet ”5rEftd7m”. Passordet blir da veldig vanskelig å gjette for en utenforstående, men lett for innehaveren å huske.
Nedenfor følger et forslag til passordpolicy:
Passord er personlige og må ikke overlates til andre
Et passord bør bestå av minst åtte tegn. Videre bør man bruke minst tre av disse fire tegnoppsetningene; små og store bokstaver, siffer og spesialtegn
Passordet bør ikke være det samme som brukernavnet eller bestå av deler av brukernavnet
Passordet bør ikke være knyttet til personlig informasjon som for eksempel navn, personnummer eller telefonnummer
Et passord bør ikke være en vanlig tegnkombinasjon, et ord eller en vanlig kombinasjon av ord som finnes i ordbøker eller brukes i daglig språkbruk, uansett språk
Et passord bør ikke være et ord som er skrevet baklengs
En brukers passord som brukes innen organisasjonen bør ikke være likt andre passord som brukes utenfor organisasjonen
Passord bør byttes hver tredje måned og må ikke være likt et tidligere brukt passord
Tjenesten Nettvett leveres