Come regola generale, la password deve essere ragionevolmente complessa e difficile da individuare e/o ricavare.
Nei limiti tecnici consentiti dai sistemi, la password:
- deve essere di lunghezza non inferiore ad 8 caratteri;
- deve essere obbligatoriamente cambiata al primo utilizzo e successivamente almeno ogni 6 (sei) mesi;
- deve contenere, ove possibile, almeno 3 caratteri tra numeri, caratteri alfabetici in maiuscolo e minuscolo, e caratteri speciali (es. [C@p13nZa](mailto:C%40p13nZa));
- deve differire dalla precedente password per almeno tre caratteri;
- non deve presentare una sequenza di caratteri identici o gruppi di caratteri ripetuti;
- non deve contenere riferimenti agevolmente riconducibili all’utente o ad ambiti noti;
- non deve essere basata su nomi di persone, date di nascita, animali, oggetti o parole ricavabili dal dizionario (anche straniere) o che si riferiscano ad informazioni personali;