Le NIST encourage l'utilisation de mots de passe sans limite de longueur mais déconseille d'imposer des types de caractères spécifiques, car les utilisateurs ont tendance à répondre de manière prévisible à ces contraintes. L'organisation préconise une approche basée sur la longueur des mots de passe, en favorisant la création de mots de passe aussi longs que souhaité par les utilisateurs. Elle recommande également d'autoriser l'utilisation d'espaces dans les mots de passe pour encourager l'utilisation de phrases de passe, et de ne pas interdire aux utilisateurs de copier-coller leur mot de passe
En revanche, le renouvellement périodique des mots de passe n'est pas exigé, et il est déconseillé d'utiliser des questions de sécurité. Le NIST impose un minimum de 8 caractères pour les mots de passe et recommande au moins 15 caractères, tout en conseillant une longueur maximale autorisée d'au moins 64 caractères, tout en acceptant tous les caractères ASCII imprimables et les caractères Unicode. ```https://www.silicon.fr/Thematique/cybersecurite-1371/Breves/Mots-de-passe-imposer-des-types-de-caracteres-une-mesure-463971.htm