Secondo
"There have been multiple studies that have shown requiring frequent password changes to actually be counterproductive to good password security..."
Mi piacerebbe vedere alcuni di questi studi e apprezzerei i riferimenti.
C'è stato un dibattito sano un paio di anni fa, spero sia appiccicato. Vediamo: Come cambia la password ogni 90 i giorni aumentano la sicurezza? era dove avevamo questo.
Il NIST stesso raccoglie feedback da parte dell'industria, agenzie governative (in particolare: la comunità dei servizi segreti) e fornisce linee guida al governo su come proteggere i loro sistemi contro le nazioni che li rubano. Mi rendo conto che è un appello all'autorità e non un riferimento, ma si spera che aiuti a fornire un contesto per il NIST.
Leggi altre domande sui tag password-policy reference-request