มาตรฐานการยืนยันตัวตน NIST 800-63 เพิ่งออกใหม่ไปเมื่อไม่กี่เดือนก่อน ทาง Wall Street Journal ก็ไปสัมภาษณ์ Bill Burr ผู้จัดการของ NIST เมื่อปี 2003 และเป็นผู้เขียน NIST 800-63A เวอร์ชั่นแรก ระบุว่ารหัสผ่านต้องมีความซับซ้อนด้วยการผสมประเภทอักขระ (ตัวเล็ก, ตัวใหญ่, ตัวเลข, สัญลักษณ์) พร้อมๆ กับระบุให้รหัสผ่านมีวันหมดอายุ

ตอนนี้ Burr เกษียณแล้ว และระบุว่าเขาเสียใจกับสิ่งที่เขียนไปส่วนมาก (much of what I did) อย่างไรก็ตาม เขาระบุว่าตอนนั้นมีความกดดันให้ NIST ต้องเร่งออกมาตรฐาน และข้อมูลรหัสผ่านหาได้ยาก เขาเคยไปถามรหัสผ่านจากผู้ดูแลระบบของ NIST เองแต่ก็ไม่มีใครแชร์ให้ว่าตั้งรหัสอย่างไร สุดท้ายจึงเป็นใช้เอกสารแนะนำ (white paper) ที่เขียนขึ้นในช่วง 1980 เป็นตัวตั้งต้นของมาตรฐาน

Paul Grassi ที่ปรึกษาของ NIST ที่ร่วมโครงการ NIST 800-63 เวอร์ชั่นล่าสุดระบุว่าตอนเริ่มโครงการคาดว่าจะเป็นการแก้ไขเพียงเล็กน้อย แต่กลายเป็นว่าต้องเขียนใหม่จากต้น

คำแนะนำการตั้งรหัสผ่านใน NIST 800-63 เวอร์ชั่นล่าสุด ระบุว่าว่า__ไม่ควร__บังคับให้ผู้ใช้ผสมตัวอักษรตามประเภทลงในรหัสผ่าน และ__ไม่ควร__บังคับเปลี่ยนรหัสผ่านโดยไม่มีเหตุจำเป็น ยกเว้นในกรณีที่มีหลักฐานว่ารหัสผ่านรั่วไหลจึงบังคับ

ที่มา - South China Morning Post, Wall Street Journal