De man achter veelvoorkomende wachtwoordeisen, zoals het gebruik van hoofdletters en speciale tekens, heeft gezegd spijt te hebben van zijn aanbevelingen. Hij schreef deze als medewerker van het Amerikaanse NIST, toen er nog niet veel informatie over het onderwerp was.
Bill Burr schreef de NIST Special Publication 800-63.Appendix A in 2003, aldus The Wall Street Journal. In die publicatie legde hij eisen vast zoals het regelmatig veranderen van wachtwoorden. Deze publicatie heeft uiteindelijk veel invloed gehad op de manier waarop organisaties met het aanmaken van nieuwe wachtwoorden omgaan, schrijft de krant. De nu gepensioneerde Burr zegt dat hij spijt heeft van veel dingen die hij toen heeft gedaan.
Toen de NIST-medewerker aan zijn aanbeveling begon, wilde hij zich baseren op daadwerkelijke wachtwoorden. Het lukte hem echter niet om zijn collega's zover te krijgen om NIST-wachtwoorden met hem te delen. Daarom maakte Burr voornamelijk gebruik van whitepapers uit de jaren tachtig. Hij ziet in dat zijn aanbevelingen uiteindelijk niet werkten. "Mensen worden er gek van als ze geen juist wachtwoord kunnen bedenken, wat ze ook proberen."
Een ander probleem is dat de regels tot gevolg hebben dat mensen wachtwoorden bedenken die eenvoudig te kraken zijn. Beveiligingsonderzoeker Troy Hunt publiceerde onlangs een grote database met wachtwoorden die al in een uitgelekte dump zijn voorgekomen, zodat organisaties bijvoorbeeld een zwarte lijst van verboden wachtwoorden kunnen hanteren.
Inmiddels heeft NIST zijn aanbevelingen van een update voorzien, waarbij niets van het bestaande werk is gebruikt. De nieuwe regels stellen bijvoorbeeld geen limiet meer aan de levensduur van een wachtwoord en bevatten geen eisen meer om speciale tekens te gebruiken. In plaats daarvan beveelt het document lange, eenvoudig te onthouden passphrases aan.