He leído:
- PCI DSS 1.2
- SOX 404
- AR 25-2
- ISO 27001
Pero solo PCI DSS especifica una longitud de contraseña mínima.
¿Existen otras regulaciones que dicten la longitud de las contraseñas para cualquier industria?
Los documentos del NIST hablan sobre los impactos de ciertas longitudes y complejidades [NIST SP 800-63b ahora proporciona orientación sobre la longitud de la contraseña]. OWASP, SANS y otros dan sus opiniones sobre los mínimos de contraseña, pero no pueden ser considerados oficiales.
No busca recomendaciones o impactos de varias longitudes, sino regulaciones reales que requieren cierta longitud. Para los propósitos de esta pregunta, ni siquiera importa si las regulaciones son buenas o no, solo un organismo regulador que dice que las contraseñas deben tener al menos una cierta longitud.