Hubo un debate saludable hace un par de años, espero que esté pegado. Veamos: ¿Cómo se cambia su contraseña cada 90? ¿Los días aumentaron la seguridad? fue donde tuvimos esto.
El NIST en sí mismo reúne los comentarios de la industria, las agencias gubernamentales (más específicamente: la comunidad de inteligencia) y proporciona pautas al gobierno sobre cómo asegurar sus sistemas contra las naciones que los roban. Me doy cuenta de que es una apelación a la autoridad y no una referencia, pero espero que ayude a proporcionar un contexto para el NIST.