创建“更改密码”功能时应采取哪些安全措施?

我正在向我的网络游戏添加“更改密码”功能 http://ninjawars.net ,它当前具有固定(基本上从不更改)密码。

我想避免把事情搞得一团糟,所以我想确保我有基本的安全基础。

从Facebook的做事方式中,我可以得出以下几点需要记住:

• 需要旧密码(当然)。
• 确认新密码输入两次。
• 注销帐户(仅在所有其他页面上,不知何故)?
• 需要一个安全的密码长度,密码适合所有 [在此插入各种标准] 每个特定系统上的密码都需要。
• 要求新密码与旧密码不同。
• 阻止多次密码更改尝试。

脸谱网也:
-要求新密码与以前的密码不同。(似乎是边缘案例的用法)

这些只是我可以从Facebook帐户系统的外部用户界面中收集到的策略。在提供“更改密码”系统时,我还应该包括哪些其他安全点?

编辑: 在我的具体案例中,我打算相对宽容 [插入各种标准] 为了什么字符必须进入密码本身。我的网站不是银行,如果玩家想使用密码“password1”,那么他们应该希望自己的帐户被他们的朋友接管。 我的焦点 另一方面,是为了确保我的网站通过任何不安全因素阻止任何“恶意收购”的机会。 密码更改系统本身 .

从以下答案中获得更多的好处:

• 向用户的电子邮件发送密码更改通知。
• 保持电子邮件的更改和密码的更改相互依赖。
• 对此类更改使用安全加密(HTTPS)连接。