A jelszavak rendszeres megváltoztatása a GCHQ brit információs ügynökség szerint felesleges és egy vállalatnál meg is terheli az alkalmazottak munkáját. Az új jelszót gyakran elfelejtik, és ez árt a termelékenységnek, ugyanakkor kedvez az informatikai kalózoknak, akik könnyen boldogulnak azzal a jelszóval, amelynek csak egy tagja változik. Az ügynökség úgy véli, hogy inkább nagyobb ellenőrzést kell gyakorolni és csak akkor cserélni, ha felmerül a behatolás gyanúja.
A francia ANSSI viszont úgy gondolja, hogy a jelszavaknak lenniük kellene egy érvényességi maximumnak, az ideális a 90 nap. Ez biztosítékot adna arra, hogy egy behatoló ne tudja a végtelenségig felhasználni.
Csoda-megoldás nincs, de a két ügynökség egyetért abban, hogy a jelszónak „szilárdnak”, ugyanakkor könnyen megjegyezhetőnek kell lennie.
Számos tanulmány figyelmeztet katasztrofális gyakorlatokra. A Splashdata minden évben kiadja a legrosszabb jelszavak listáját és a világban legtöbbet használtakét. A Dashlane társaság beszámolójában nyugtalanító számok jelentek meg a hanyagul kezelt munkahelyi jelszavakról. Az alkalmazottak 78 százaléka vallotta be például, hogy megosztja jelszavát a kollégákkal. Ez főként a 16-34 éveseknél fordul elő (85 százalék) – úgy látszik, annyira hozzászoktak a közösségi portálokon a megosztásokhoz - az 55 felettiek óvatosabbak (57 százalék). 31 százalék papírra jegyzi fel a jelszót, 22 százalék az informatikai dossziéra bízza.
Az alkalmazottak 69 százaléka jelentette ki, hogy hozzá tud férni a régi munkaadó jelszavához. Egy amerikai újságíró nemrég két év börtönt kapott, mert az Anonymous hekkereinek átadott egy előző munkájához használt azonosítót és jelszót. Ugyanakkor a Vanson Bourne technológiai piackutató szerint az alkalmazottak 26 százaléka állítja, hogy kész lenne eladni egy külső szervezetnek munkahelyi jelszavát.
A GCHQ arra hívja fel a figyelmet, hogy kerüljék a leginkább használt szavakat és ne legyen a jelszavakban személyes vonatkozások, például városnév, születési dátum, vagy a cég neve. E helyett komplex, de könnyen megjegyezhető jelszavakat ajánl. A vállalatokat kérik a dupla azonosítási rendszer bevezetésére, amelynél, ha az alkalmazott hozzá akar férni a cég rendszeréhez, sms-ben kaphatná meg az egyetlen és rövid életű jelszót.
A brit hatóságok és a szakértők 12 betűből álló jelszót tartanak jónak, amelyben számok, kis- és nagybetűk, írásjelek váltakoznak. Kerülendőnek tartják a szakmai és a magánüzenetekre ugyanannak a jelszónak a használatát, valamint nem tartják jónak egy adott mondat szavai első betűinek összevonását sem.