Aastaid on propageeritud väga keerulisi paroole, mis kombineerisid suur- ja väiketähti, numbreid ja sümboleid. Arvati, et selline keerukus raskendab paroolide äraarvamist või murdmist jõhkrate rünnakute abil.
Need keerulised nõuded viisid aga sageli paroolide taaskasutamiseni või lihtsate mustrite kasutamiseni nagu tähtede asendamine sarnaste numbritega või sümbolitega, näiteks „P@r00l123“.
Aja jooksul leidis USA Riiklik Standardi- ja Tehnoloogiainstituut (NIST), et selline keskendumine keerukusele töötas eesmärgile vastu, nõrgestades praktikas turvalisust.
Sellist käitumist soodustas mitmete organisatsioonide nõuet muuta enda parool iga 60 või 90 tagant, mida NIST enam ei soovita.
Salasõnade tugevust mõõdetakse sageli entroopia abil, mis on ettearvamatuse mõõt. Teisisõnu on see võimalike kombinatsioonide arv, mida saab luua parooli tähemärke kasutades. Mida suurem on kombinatsioonide arv ehk entroopia, seda raskem on ründajatel salasõna murda.
Kuigi keerukus võib aidata kaasa entroopiale, mängib pikkus palju suuremat rolli. Pikemal, rohkemate märkidega paroolil on eksponentsiaalselt rohkem võimalikke kombinatsioone, mis muudab ründajate jaoks keerulisemaks ära arvata, isegi kui märgid ise on lihtsamad.
Ja pikad paroolid võivad olla palju lihtsamad meelde jätta. Näiteks võib kasutada lihtsate sõnade jada nagu „suur kass katus punane redel kiire auto seitse“ ja kasutada seda paroolina „suurkasskatuspunaneredelkiireautoseitse“, mis on nii turvaline kui ka kasutajasõbralik.
Lisaks on arvutusvõimsuse areng muutnud lühikeste ja keeruliste paroolide murdmise lihtsamaks. Kuid isegi keerulistel algoritmidel on pikki paroole keeruline murda, sest võimalike kombinatsioonide arv on väga suur.
Oma uues soovituses rõhutab NIST, et kasutajatel on võimalik luua kuni 64 tähemärgi pikkuseid paroole. 64 tähemärki sisaldavat parooli, milles kasutatakse ainult väiketähti ja tõelisi sõnu, oleks äärmiselt raske murda. Kui lisada suurtähed ja sümbolid, oleks parooli murdmine matemaatiliselt peaaegu võimatu.
