Peki, bu yaygın inanışın aksine, neden yeni şifrenin son 3 şifreden farklı olması zorunluluğu güvenli bir uygulama değil? NIST'in bu konudaki temel gerekçeleri şu şekilde özetlenebilir:

• Güvenliksiz Kayıt Alışkanlıkları: Sürekli olarak yeni ve farklı şifreler oluşturmaya zorlanan kullanıcılar, bu karmaşıklıkla başa çıkmak için şifrelerini kolayca erişilebilecek ve güvenli olmayan yerlere not alma eğiliminde olabilirler. Bu durum, şifrelerin çalınma riskini önemli ölçüde artırır.
• Hatırlama Zorluğu ve Tekrarlayan Kalıplar: Farklı platformlarda farklı ve karmaşık şifreler belirlemek ve bunları hatırlamak kullanıcılar için ciddi bir zorluk oluşturur. Bu zorluğu aşmak için kullanıcılar, kolayca tahmin edilebilecek veya birbirine benzeyen şifreler oluşturma eğiliminde olabilirler. "Son 3 şifreden farklı olsun" kuralı da bu durumu tam olarak engellemez ve kullanıcıların benzer mantıkta, kolay kırılabilir şifreler üretmesine neden olabilir.
• Uzun Şifre Zorunluluğunun Platform Uyumsuzluğu: Güvenliği artırmak amacıyla önerilen uzun şifreler, her platformun kabul ettiği uzunlukta olmayabilir. Bu durum, kullanıcıların farklı platformlar için farklı uzunluklarda şifreler belirlemesine ve dolayısıyla hatırlama güçlüğüne yol açar. Bu da kullanıcıyı yine şifrelerini bir yere not almaya veya daha az güvenli seçeneklere yönlendirebilir.

NIST'in bu önemli kararı, güçlü ve akılda kalıcı şifreler oluşturmanın, şifreleri güvenli bir şekilde saklamanın ve iki faktörlü kimlik doğrulama gibi ek güvenlik önlemleri almanın çok daha etkili güvenlik stratejileri olduğunu vurguluyor.