En una nota de Lukasz Olejnik se menciona un reciente cambio que ha publicado el NIST (Instituto Nacional de Estándares y Tecnología, del Departamento de Comercio de Estados Unidos) en forma de documento técnico, titulado Recomendaciones sobre Identidad Digital, publicación especial SP 800-63.

Incluye muchas de las consideraciones de seguridad habituales para la gente corriente, aplicaciones y sitios web, y viene a decir que a partir de ahora lo de mezclar estilos (mayúsculas, minúsculas, símbolos…) y lo de cambiar la contraseña periódicamente ya no es algo que se considere «seguro», entre otras cuestiones.

El documento es muy detallado, técnico y fuera del ámbito de interés de los usuarios normales, a quienes quizá sólo interese saber un poco por encima cuáles son estas nuevas consideraciones.

En general parece que el NIST ha usado el sentido común y recogido tanto las peticiones de los expertos como el saber de las multitudes y los usos corrientes. Respecto a las contraseñas y sistemas de autenticación de usuarios, en concreto, las aplicaciones y sitios web…

Deberían:

Deberían requerir contraseñas de al menos 8 caracteres (15 a ser posible).
Deberían admitir contraseñas de hasta 64 caracteres.
Deberían admitirse espacios, caracteres ASCII y Unicode.

Y cambio NO deberían:

No deberían imponer otras reglas de composición («combinación de estilos», como mayúculas/minúsculas/números).
No deberían imponer cambiar contraseñas periódicamente, a menos que estén comprometidas o haya habido algún problema de seguridad concreto.
No deberían mostrar «pistas» si no se está autenticado.
No deberían sugerir contraseñas o pistas para cambiar la contraseña del tipo «el nombre …