一位在2003年推广这些技巧的专家说，我们在设计自定义密码时使用的绝大多数可信的技巧和窍门实际上使我们更容易受到黑客的攻击，前美国国家标准与技术研究所（National Institute of Standards and Technology）经理比尔•伯尔（Bill Burr）承认，他撰写的一份关于设计强密码的文件被误导了我所做的很多事现在都让我后悔了，”72岁的伯尔说，他现在已经退休了。

问题不在于伯尔建议人们使用天生容易破解的密码，而在于他的建议引导日常电脑用户倾向于懒惰的错误和容易预测的做法。Burr的八页密码文件名为“NIST特别出版物800-63附录A”，建议人们使用不规则的大写字母、特殊字符和至少一个数字。可能会产生类似“的密码”P@ssW0rd123!” 虽然这可能使它表面上看起来很安全（当然，忽略了“密码”是一个坏密码），但问题是，大多数人在**这些数字组合锁时倾向于使用相同的确切技术。这就产生了黑客可以轻易预测的字符串和数字，以及专门针对这些弱点的算法。

更糟糕的是，伯尔建议人们应该定期更换密码，至少每90天一次。这一建议随后被学术机构、**机构和大型企业采纳，促使用户轻松破解密码。大多数人可能会指向他们创建的一个密码，因为它有一个特殊的字符，比如“！”或者“？”符号和一个像“123”这样的数字字符串。当提示更改密码时，谁没有稍微更改一下密码以避免产生一个全新代码的麻烦？

2011年8月，漫画家兰德尔·门罗（Randall Munroe）出版了一本颇受欢迎的xkcd漫画，该漫画指出了密码“Tr0ub4dor&amp；3“可以用标准技术在大约三天内破解，因为它可以预测大小写、数字替换和特殊字符的使用。密码“正确的马电池钉”，写为一个短语，将需要550年(据《华尔街日报》报道，安全专家证实了门罗的计算方法。“通过20年的努力，我们正确地训练了每个人使用密码，这些密码人类很难记住，但计算机很容易猜到，”门罗在底部写道。

换句话说，你应该使用的密码是晦涩难懂的，几乎无法解释的短语，充满了人类的随机性，这使得它们很容易被存储起来，但对于一个自动化系统来说，几乎不可能理解。当然，对于那些使用像LastPass这样的密码管理器的用户，您可以动态生成加密安全的密码。但拥有一个难以破解的主密码仍然很重要。

伯尔承认自己的建议：“最终，这可能太复杂了，很多人无法很好地理解，事实是，这是错误的做法。”。由技术顾问保罗格拉西（paulgrassi）撰写的新NIST标准在6月份发布，取消了伯尔的许多建议。

格拉西告诉《华尔街日报》：“我们最终从零开始。但伯尔可能夸大了他的密码建议的负面影响，格拉西补充说：“他写了一份安全文件，保存了10到15年。我只希望有一份文件能坚持那么久。”