美國國家標準和技術協會（NIST）今年6月提供的最新數字身份指南的新版草案中，已經不再推薦用戶使用密碼混合大寫字母、字符和數字，也不再要求定期修改密碼。因為研究顯示此類的要求并不能帶來強密碼，NIST認為最重要的是儲存的密碼必須鹽化+哈希+MAC處理。

不過對于2003年一篇廣為流傳的密碼混合大寫字母、字符和數字的NIST安全專家建議文章，其作者72歲的前NIST主管Bill Burr開始承認當時其提供的建議并不成熟，后來也被證實不是太奏效，當然也有媒體的一些誤導總結，導致更多的曲解。根據他當年寫的一份文檔NIST Special Publication 800-63，媒體總結為專家建議大家采用混合大寫字母、字符和數字，構成一個常用詞組的方式（比如P@ssW0rd123!），事實證明這種密碼對于破解密碼工具來說，只需要增加一些代碼，根據這種規則的密碼強度幾乎與弱密碼的破解相差無幾，倒是催生了許多有創意的網名ID。

比如一篇形象的漫畫指出根據這樣的規則，形似“Tr0ub4dor&3”這樣的密碼只需要用標準的破解技術在三天之內就能夠破解，而且你很容易在被破解之前就忘掉自己的密碼。而一句完全采用英文單詞組成的摸不著頭腦的短語 “correct horse battery staple”卻需要約550年來破解，而這組詞語很容易形成獨特的畫面，對于人類來說非常容易形成記憶，但與計算機來說其堪比天書，隨機性使得它很難被自動化工具猜出。

現在Burr承認：最終，這樣復雜的要求可能讓普通人們很難理解，實際上當時的確是找錯了方向。

NIST數字身份指南的新版草案的作者 Paul Grassi指出，NIST此前的密碼安全建議都是在摸索中前進，沒有前人的嘗試也無法摸索出切實有效的密碼建議。

NIST 也不再要求密碼混合大寫字母、字符和數字，因為研究顯示此類的要求并不能帶來強密碼。NIST 認為，如果用戶想要使用繪文字作為密碼，那么就應該允許用戶使用。NIST 認為最重要的是儲存的密碼必須鹽化哈希 MAC 處理。