Nove smernice so še v fazi osnutka, ki bo v javni razpravi do 7. oktobra. Ko bodo nato sprejete, verjetno v dopolnjeni obliki, bodo obvezne za ameriške zvezne proračunske porabnike in podjetja, ki sodelujejo z zvezno vlado. Pri geslih so številna prejšnja priporočila postala obveznosti, nekaj pa je tudi novih. Med drugim morajo biti gesla dolga vsaj osem znakov, priporočeni minimum pa je 15 znakov. Priporočeni minimum za zgornjo mejo je 64 znakov, lahko pa jih seveda dovolijo še več. V nobenem primeru se gesla ne krajšajo (truncation). Prav tako je priporočeno, da se sprejemajo vsi znaki ASCII ali celo vsi znaki Unicode.
Prepovedano je zahtevati uporabi posebnih oblik, torej nujne prisotnosti malih in velikih črk, številk, posebnih znakov in drugih vzorcev. Zahtevati periodično menjanje gesel je prav tako prepovedano. V to kategorijo spadajo še varnostna vprašanja po hišnih ljubljenčkih in podobno, ki kar kličejo po zlorabah. Vse te tehnike, ki zgolj vzbujajo občutek varnosti, niso več dopustne.
