a. La longitud de la contraseña debe ser como mínimo de 8 caracteres, si bien se recomienda usar contraseñas más largas. A mayor longitud más difícil será de reproducir y mayor seguridad ofrecerá.
b. Se utilizará la concatenación de varias palabras para construir contraseñas largas (passphrases) cuya deducción, automática o no, no sea simple. Por ejemplo: “elefanteneumáticocarpeta”, incluso contemplando la presencia de espacios en blanco. Por ejemplo: “cocina televisor ventana”. También pueden utilizarse frases cortas sin sentido.
c. Hay que evitar utilizar secuencias básicas de teclado (por ejemplo: ”qwerty”, “asdf” o las típicas en numeración: “1234” ó “98765”) así como no repetir los mismos caracteres en la misma contraseña. (ej.: “111222”).
d. Las contraseñas no deberán estar compuestas de datos propios que otra persona pueda adivinar u obtener fácilmente (nombre, apellidos, fecha de nacimiento, número de teléfono, etc.), ni ser frases famosas o refranes, ni ser estrofas de canciones o frases impactantes de películas o de obras de literatura.
e. Las contraseñas deberán ser fáciles de recordar. Se hace necesario, por tanto, encontrar una solución de compromiso entre la robustez de la contraseña y la facilidad con la que se puede recordar.
f. Hay que evitar apuntar las contraseñas en papel ni guardarlas en un archivo sin cifrar o bajo otro procedimiento o contenedor no seguro.
g. La contraseña no deberá ser igual a ninguna de las últimas contraseñas usadas, ni estar formada por una concatenación de ellas.
h. La contraseña deberá cambiarse como mínimo una vez al año en todos los sistemas y servicios informáticos que permitan que el usuario modifique autónomamente su contraseña o bien siempre que se entienda que la contraseña haya podido ser puesta en compromiso.
i. Cuanto más sensible, confidencial o protegida sea la información con la que se trabaja, más recomendable es el robustecimiento de las contraseñas y el aumento de la frecuencia de cambio de las mismas.
j. Es especialmente importante mantener el carácter secreto de la contraseña. No debe entregarse ni comunicarse a nadie. En caso de haber tenido necesidad de hacerlo, el usuario deberá proceder a cambiarla de forma inmediata.
k. No utilizar la misma contraseña para distintos servicios web externos o en el acceso a distintos dispositivos.