2017年6月に全面改定が行われたNISTガイドライン「SP800-63」の中には、「Webサイトは利用者に対し、パスワードの定期的な変更を要求すべきではない」という趣旨の1文が追加された。複雑なパスワードの強制と同様、定期変更の要求はメリットよりもデメリットが多かったのだ。