当前更稳妥的建议是至少 12 位，关键账号（银行、主邮箱、密码管理器主密码）优先16 位以上。近年的主流口径不再强调“必须同时含大小写数字符号”，而是更看重长度、唯一性和是否落入已泄露密码列表。具体抗暴力破解能力还受服务端限速、哈希算法和攻击成本影响，不宜把某个“几小时 / 几千年”数字当成通用结论。

有，但通常不如先加长度。扩大字符集会增加搜索空间，但短密码即便“看起来复杂”也可能因为模式常见而很弱。比如 P@ssw0rd! 这种变体就属于攻击字典的重点对象；相比之下，更长、彼此独立、不过度依赖个人信息的密码或 passphrase 往往更稳。

优先避免三类高风险模式：常见字典词（password、123456、qwerty）、个人信息（生日、姓名拼音、手机号、宠物名）和键盘连击（asdf、1qaz）。这类模式往往会优先出现在撞库、字典攻击或泄露口令库里。像 Aa123456、Password2024! 这类“满足复杂度规则但非常常见”的密码，实际并不强。

优先密码管理器。1Password、Bitwarden、KeePass 等可为每个网站生成独立 20+ 位随机密码，本地+云加密。自己记的密码必然简单（人脑容量有限），且会跨站重用——一处泄露其他站全沦陷。主密码 仍要自己记，建议用 4-6 个不相关单词组成的"密语"（passphrase），如"蓝色海豚跑步雨伞"。

NIST 2017 年起不再建议定期换密码——研究表明强制定期换会让用户改成更弱的（如 Password1 → Password2）。改换条件触发：网站发生数据泄露、怀疑被窃（多设备登录提醒、可疑登录地点）、离职/共享对象变化 时换。日常用密码管理器 + 强密码 + 双因素认证（2FA），换不换不重要。

双因素认证（2FA）是密码失窃后的最后防线。常见三种——短信验证码（最弱，可被 SIM 劫持）、TOTP（Google Authenticator/Authy）（中等，最通用）、硬件密钥（YubiKey/passkey）（最强，物理安全）。开 2FA 后即便密码泄露，攻击者没第二因子也进不来。建议主邮箱、银行、密码管理器主账号必开 2FA。