Ho letto:
- PCI DSS 1.2
- SOX 404
- AR 25-2
- ISO 27001
Ma solo PCI DSS specifica una lunghezza minima della password.
Esistono altri regolamenti che stabiliscono le lunghezze delle password per qualsiasi settore?
I documenti NIST parlano dell'impatto di determinate lunghezze e complessità [NIST SP 800-63b fornisce ora indicazioni sulla lunghezza della password]. OWASP, SANS e altri forniscono le loro opinioni sui minimi delle password, ma non possono essere considerati ufficiali.
Non cercare raccomandazioni o impatti di varia durata, ma regolamenti effettivi che richiedono una certa lunghezza. Ai fini di questa domanda, non importa nemmeno se i regolamenti siano buoni o meno, solo un ente normativo che afferma che le password devono essere almeno di una certa lunghezza.