Seit 2003 herrscht die Annahme, dass die Kombination von Sonderzeichen, Ziffern, Groß- und Kleinschreibung die Sicherheit erhöhen und deshalb entsprechend vorzuschreiben sind. Gleichzeitig entstand auch die Regel, dass Passwörter spätestens alle 90 Tage zu ersetzen sind.
2017 hat der damalige Erfinder der Regeln zugegeben, dass er die Regeln nicht wirklich überdacht hat. Er hat sie einfach aus Regeln und Annahmen der 1980er Jahre zusammen geschustert um möglichst schnell eine Vorgabe für die NIST zu bekommen.
Juli 2017 wurden die NIST dementsprechend geändert, weil die alten Vorgaben nicht mehr Sicherheit bringen und sogar mehr Arbeitszeit kosten als ein erfolgreicher Angriff