NIST kini mengesyorkan dasar kata laluan yang memerlukan semua kata laluan yang dibuat oleh pengguna sekurang-kurangnya 8 aksara, dan semua kata laluan yang dihasilkan oleh mesin menjadi sekurang-kurangnya 6 aksara. Di samping itu, disarankan untuk membolehkan kata laluan sekurang -kurangnya 64 aksara sebagai panjang maksimum.
Adakah NIST mengesyorkan tidak menukar kata laluan?
Tidak menghairankan, NIST tidak lagi mengesyorkan perubahan kata laluan yang dijadualkan. Sebaliknya, garis panduan kata laluan NIST pada dasarnya menyatakan bahawa organisasi harus menyaring kata laluan terhadap senarai kata laluan yang diketahui dikompromikan. Sekiranya kata laluan belum dikompromikan, maka tidak ada alasan untuk mengubahnya.