미국 국립표준기술연구소(NIST) 중급 매니저로 근무하던, 빌 버(Bill Burr)

그는 NIST에서 근무하던 중 2003년, 해킹 사건을 예방하기 위해 비밀번호를 이용한 방지책을 제시

이후 2017년 인터뷰에서 이 규칙을 만든 것을 후회한다고 밝힘.

특수문자까지 포함 시키며 비밀번호 자체는 길어졌고, 주기적으로 바꾸게 되었지만

오히려 앞이나 뒤 한 두글자만 바꾸거나 더 단순한 패턴을 갖게 되면서 보안성에 큰 도움이 되지 않았기 때문

그가 의도했던 비밀번호 패턴
Ab!ze1@p > (90일후) uo#Bvp2e

실제 사람들이 사용하는 패턴1
Qwer123! > (90일후) qWer123!

실제 사람들이 사용하는 패턴2
Qwerty!123 > (90일후) qWerty!123


결국 2017년, 해당 규칙을 담은 문서에서 특수문자 필수 사용 조항과 90일 주기로 변경해야 한다는 조항이 삭제되었고
이를 따르던 한국 인터넷 진흥원의 가이드 역시 수정되었습니다.

1. 최소 8자 이상.
2. 대문자, 소문자, 숫자, 특수문자를 각 하나 이상 포함
→ 10자 이하일 경우, 두 종류 이상 문자를 사용. 10자 이상일 경우, 해당사항 없음.
3. 90일 주기로 변경.
→ 삭제.