極麻煩的密碼規則發明家：「對不起浪費了大家的時間」

國家標準技術研究所改正建議
2017年6月，國家標準技術研究所（NIST）發佈新的《800-63》指引第三版[10]，改正已沿用超過十年、受各大政府機構、銀行、業界採用的舊建議，不再強調使用人腦難以記憶的特別符號、數字的無意義組合，而且亦不再建議密碼需每九十日汰換[11]，因為經研究證明此項指引並沒有對系統安全帶來有益的效果[12]。NIST檔案的舊版原作者伯爾（Bill Burr）並在《華爾街日報》訪問中公開道歉，稱當時他並無得到可靠的數據作嚴謹研究，只依靠來自八十年代、不合時宜的舊檔案作為參考，而他的建議亦沒有考慮到一般人的生活習慣及思考模式[13]。負責撰寫新版指引的NIST顧問格拉西（Paul Grassi）指出，舊的要求不利使用，對抵擋駭客攻擊的作用不大[14]；如果使用者能夠在腦海中構想出一幅其他人無法想像的圖畫，以此作為密碼便是最好的，一句夠長的完整句子，會優於較短的字母、數字及符號混合密碼[9]。華爾街日報參照廣泛流傳的xkcd漫畫[15]，指出只要密碼夠長，拼合幾個看似無意義、但便於該使用者記憶的字詞作為密碼，更能有效抵擋駭客攻擊，暴力破解會需要更久的時間[16][17]。