وال استریت جورنال نوشت که بیل پشیمان است از توصیه های رمز عبور خود NIST SP 800-63 ضمیمه A.
Apprendix A عنوان "برآورد رمز عبور آنتروپی و قدرت". در مورد چگونگی ارزیابی قدرت رمز عبور – نه در مورد قوانین برای کنترل ایجاد رمز عبور
بیل بحث قوانین رمز عبور hyperhetical است و نشان می دهد که چگونه کاربر ممکن است با این قوانین مطابقت و چگونه رفتار خود را به احتمال زیاد بر قدرت رمز عبور و یا محاسبات entrophy تاثیر می گذارد.
به عنوان مثال، از بین بردن کلمات فرهنگ لغت (برای کلمات کوتاه کوتاه) و نیاز به حروف بزرگ، کوچک، رقم، و علامت ها به معنی مهاجم نیاز به بررسی ترکیب کمتری دارد.
برای بررسی در برابر یک پایگاه داده از کلمات عبور رایج است.
بیل معتقد است که قوانین فرهنگ لغت و ترکیب به طور کلی "آنتروپی عملی" کلمه عبور را بهبود می بخشد.
اما بیل هشدار می دهد که اعمال بزرگ، عددی و نماد احتمالا موجب تغییر در شروع یا پایان رمز عبور خواهد شد و از این رو تخفیفات ارزش اخباری از استفاده از این کاراکترها در یک رمز عبور
بحث در مورد فرکانس تغییر کلمات عبور محدود به ارزیابی احتمال حمله مهاجم به یک حمله در باند است
مقالات مانند این یکی از theverge بر اساس مقاله WSJ، ادعا می کند که لایحه توصیه می شود رمزهای عبور هر 90 روز تغییر کند – این نشان می دهد که این
آیا من سؤال اشتباه یا سند را بخوانم اشتباه است؟
آیا NIST هرگز بزرگ، رقمی، نمادها و تغییر 90 روزه یا منظم از کلمات عبور؟