Какие меры безопасности следует предпринять при создании функции «сменить пароль»?

Я добавляю функцию «изменить пароль» в свою веб-игру http://ninjawars.net , которая в настоящее время имеет исправлены (и, по сути, никогда не меняются) пароли.

Я хочу избежать беспорядка, поэтому я хотел бы убедиться, что у меня есть базовые основы безопасности.

Взять то, что я могу извлечь из Facebook. При выполнении действий следует помнить несколько ключевых моментов:

• Требовать старый пароль (конечно).
• Дважды подтвердите ввод нового пароля.
• выйти из аккаунта (как-то только на всех остальных страницах)?
• Требовать длину надежного пароля и - Требуется, чтобы новый пароль отличался от предыдущих паролей. (похоже на крайний случай)

  Это только политики, которые я могу почерпнуть из внешнего пользовательского интерфейса системы учетных записей facebook. Какие еще вопросы безопасности следует учитывать при предоставлении системы «смены пароля»?

  Изменить: В моем конкретном случае я намерен быть относительно снисходительным с [вставьте различные критерии] для того, какие символы должны будут входить в сам пароль. Мой сайт не является банком. Если игрок хочет использовать пароль «password1», он должен ожидать, что его учетная запись перейдет к своим друзьям. МОЯ ФОКУС , с другой стороны, заключается в том, чтобы убедиться, что мой сайт предотвращает любые возможности «враждебного захвата» через любую небезопасность в самой системе смены паролей .

  Дополнительные положительные моменты из ответов ниже:

  • Отправлять уведомление об изменении пароля на адрес электронной почты пользователя.
  • Сохранять изменение адреса электронной почты и изменение пароля в зависимости друг от друга.
  • Используйте безопасный зашифрованный (https) ) соединение для таких изменений.