策略

NIST 800-63B密码规则：2026年实用总结

通俗易懂的NIST SP 800-63B密码指南总结。了解哪些变化，为什么取消复杂性规则，以及如何实施合规的密码策略。

必读内容

与现代 NIST 标准保持一致

阅读 1 分钟更新于: 2026/04/15作者: GeneratePasswordTo Editorial Team

什么是NIST SP 800-63B？

NIST SP 800-63B是美国国家标准与技术研究院发布的数字身份指南的一部分。虽然对美国联邦机构是强制性的，但已成为全球密码安全基准。

最新修订从根本上改变了安全社区对密码的看法，否定了数十年的传统智慧，转向基于证据的实践。

无论您是开发者、IT管理员还是普通用户，理解这些指南都至关重要。

关键变化：NIST做对了什么

取消强制复杂性规则。NIST明确建议不要求大写字母、数字或特殊字符。研究表明强制复杂性导致可预测的模式。

停止要求定期更换。NIST现在建议仅在有证据表明密码泄露时才更换。

对照泄露列表检查。HIBP Passwords API使用k-匿名检查超过9亿个泄露密码。

允许长密码。系统必须接受至少64个字符的密码。

最小长度要求

NIST设定用户选择密码的绝对最低限度为8个字符，随机PIN为6个。12个字符是推荐的实际最低限度，15+为理想值。

对于高价值资产，推荐16+字符或5+词的密码短语。

系统不应设置低于64个字符的最大值。

8字符：NIST绝对最低值
12字符：推荐实际最低值
15+字符：重要账户推荐
64字符：系统必须支持的最低上限
6位数：随机PIN最低值

禁用密码列表和字典检查

NIST要求将新密码与常见、预期或已泄露密码列表进行核对。

拒绝时系统必须提供清晰的解释，而非通用错误消息。

HIBP API使用k-匿名：仅发送SHA-1哈希的前5个字符，本地验证。

密码存储：哈希要求

NIST要求使用内存密集型密钥派生函数。推荐：Argon2id、bcrypt（最低因子10）、PBKDF2-HMAC-SHA256（最少600,000次迭代）。

Argon2id是新实现的首选。

永远不要使用简单的加密哈希函数（MD5、SHA-1、SHA-256）存储密码。

始终为每个密码使用唯一的随机盐（至少128位）。

多因素认证

NIST强烈建议对任何处理敏感数据的系统使用MFA。三个因素：知识、持有、生物特征。

NIST将认证器分为三个级别（AAL1-3）。AAL2适合大多数商业应用。

SMS验证码被列为"受限"认证器。优先选择TOTP应用或FIDO2密钥。

MFA实施后NIST允许放宽部分要求，但弱密码仍是风险。

实施清单

移除复杂性要求。最小长度12，最大至少64。实施HIBP检查。

更新存储到Argon2id、bcrypt或PBKDF2。下次登录时透明地重新哈希。

取消定期更换。实施泄露检测和登录尝试限制。

启用MFA，优先FIDO2/WebAuthn或TOTP。

移除复杂性要求
长度最小12，最大64+
对照泄露列表检查（HIBP）
使用Argon2id / bcrypt / PBKDF2
消除定期轮换
限制登录尝试
部署MFA（FIDO2 > TOTP > SMS）
拒绝时提供清晰消息

下一步

密码生成器

浏览完整的指南合集

功能	NordPass	1Password	Bitwarden Free
月费	$1.49/mo	$2.99/mo	$0
设备	无限	无限	无限
Passkeys	是	是	否
泄露扫描	是	是	否
内置2FA	是	是	是
安全分享	是	是	有限
自动填充	是	是	是

策略

NIST 800-63B密码规则：2026年实用总结

通俗易懂的NIST SP 800-63B密码指南总结。了解哪些变化，为什么取消复杂性规则，以及如何实施合规的密码策略。

必读内容

与现代 NIST 标准保持一致

阅读 1 分钟更新于: 2026/04/15作者: GeneratePasswordTo Editorial Team

什么是NIST SP 800-63B？

NIST SP 800-63B是美国国家标准与技术研究院发布的数字身份指南的一部分。虽然对美国联邦机构是强制性的，但已成为全球密码安全基准。

最新修订从根本上改变了安全社区对密码的看法，否定了数十年的传统智慧，转向基于证据的实践。

无论您是开发者、IT管理员还是普通用户，理解这些指南都至关重要。

关键变化：NIST做对了什么

取消强制复杂性规则。NIST明确建议不要求大写字母、数字或特殊字符。研究表明强制复杂性导致可预测的模式。

停止要求定期更换。NIST现在建议仅在有证据表明密码泄露时才更换。

对照泄露列表检查。HIBP Passwords API使用k-匿名检查超过9亿个泄露密码。

允许长密码。系统必须接受至少64个字符的密码。

最小长度要求

NIST设定用户选择密码的绝对最低限度为8个字符，随机PIN为6个。12个字符是推荐的实际最低限度，15+为理想值。

对于高价值资产，推荐16+字符或5+词的密码短语。

系统不应设置低于64个字符的最大值。

8字符：NIST绝对最低值
12字符：推荐实际最低值
15+字符：重要账户推荐
64字符：系统必须支持的最低上限
6位数：随机PIN最低值

禁用密码列表和字典检查

NIST要求将新密码与常见、预期或已泄露密码列表进行核对。

拒绝时系统必须提供清晰的解释，而非通用错误消息。

HIBP API使用k-匿名：仅发送SHA-1哈希的前5个字符，本地验证。

密码存储：哈希要求

NIST要求使用内存密集型密钥派生函数。推荐：Argon2id、bcrypt（最低因子10）、PBKDF2-HMAC-SHA256（最少600,000次迭代）。

Argon2id是新实现的首选。

永远不要使用简单的加密哈希函数（MD5、SHA-1、SHA-256）存储密码。

始终为每个密码使用唯一的随机盐（至少128位）。

多因素认证

NIST强烈建议对任何处理敏感数据的系统使用MFA。三个因素：知识、持有、生物特征。

NIST将认证器分为三个级别（AAL1-3）。AAL2适合大多数商业应用。

SMS验证码被列为"受限"认证器。优先选择TOTP应用或FIDO2密钥。

MFA实施后NIST允许放宽部分要求，但弱密码仍是风险。

实施清单

移除复杂性要求。最小长度12，最大至少64。实施HIBP检查。

更新存储到Argon2id、bcrypt或PBKDF2。下次登录时透明地重新哈希。

取消定期更换。实施泄露检测和登录尝试限制。

启用MFA，优先FIDO2/WebAuthn或TOTP。

移除复杂性要求
长度最小12，最大64+
对照泄露列表检查（HIBP）
使用Argon2id / bcrypt / PBKDF2
消除定期轮换
限制登录尝试
部署MFA（FIDO2 > TOTP > SMS）
拒绝时提供清晰消息

下一步

密码生成器

浏览完整的指南合集

NIST 800-63B密码规则：2026年实用总结

什么是NIST SP 800-63B？

关键变化：NIST做对了什么

最小长度要求

禁用密码列表和字典检查

密码存储：哈希要求

多因素认证

实施清单

有了强密码之后该怎么做？

NIST 800-63B密码规则：2026年实用总结

什么是NIST SP 800-63B？

关键变化：NIST做对了什么

最小长度要求

禁用密码列表和字典检查

密码存储：哈希要求

多因素认证

实施清单

有了强密码之后该怎么做？