Come regola generale, la password deve essere ragionevolmente complessa e difficile da individuare e/o ricavare.

Nei limiti tecnici consentiti dai sistemi, la password:

• deve essere di lunghezza non inferiore ad 8 caratteri;
• deve essere obbligatoriamente cambiata al primo utilizzo e successivamente almeno ogni 6 (sei) mesi;
• deve contenere, ove possibile, almeno 3 caratteri tra numeri, caratteri alfabetici in maiuscolo e minuscolo, e caratteri speciali (es. [C@p13nZa](mailto:C%40p13nZa));
• deve differire dalla precedente password per almeno tre caratteri;
• non deve presentare una sequenza di caratteri identici o gruppi di caratteri ripetuti;
• non deve contenere riferimenti agevolmente riconducibili all’utente o ad ambiti noti;
• non deve essere basata su nomi di persone, date di nascita, animali, oggetti o parole ricavabili dal dizionario (anche straniere) o che si riferiscano ad informazioni personali;