بسیاری از سیستمها سیاستهایی برای رمز عبور اتخاذ میکنند تا ویژگیها و املای رمز عبور را محدود کنند. رایجترین محدودیتها شامل حداقل طول رمز عبور، حداقل و حداکثر عمر رمز عبور، استفاده از سه یا چهار نوع کاراکتر در رمز عبور (حروف کوچک، حروف بزرگ، اعداد و نشانهها) و ممانعت از استفاده مجدد از رمز عبور است.
اگر رمزهای عبور تنها در صورتی که هوشمندانه انتخاب شده و به درستی مدیریت شوند، کارآمد خواهند بود. در سیاستهای امنیتی سازمان باید به وضوح لزوم نیاز به رمز عبور قوی و چگونگی ایجاد یک رمز عبور قوی تعریف شود. اگر رمزهای عبور توسط کاربران نهایی ایجاد میشوند، لازم است برای ایجاد رمز عبور قوی پیشنهاداتی در نظر گرفته شوند.
از نام، نام کاربری، آدرس پست الکترونیکی، شماره پرسنلی، شماره کارت ملی، شماره تلفن و نامها و کدهای شناسایی دیگر استفاده نکنید. کلمات فرهنگ لغت، اصطلاحات و یا کلمات اختصاری را مورد استفاده قرار ندهید. از کلماتی با املای غیر استاندارد همراه با حروف بزرگ استفاده کنید. حروف الفبا را جایگزین اعداد کنید. رمزهای عبور خود را به طور مداوم تغییر دهید.
همانطور که در سایت مرکز مدیریت امداد و هماهنگی رخدادهای رایانهای آمده است، رمزهای عبور نباید در هیچ فرم یا قالبی نمایش داده شوند و در عین حال باید از ایجاد لیستی از رمزهای عبور کاربران اجتناب کرد. رمزهای عبوری که به راحتی به خاطر سپرده میشوند اغلب توسط ابزار شکستن رمز عبور به راحتی کشف میشوند.
مدیران نیز باید به خاطر داشته باشند که اگر رمز عبور مدیر شبکه یا root به خطر بیفتد، تمامی رمزهای عبور حسابهای کاربری باید تغییر کنند و توجه داشته باشید که هرگز رمزهای عبور خود را از طریق پست الکترونیکی انتقال ندهید.