Es sei ein Irrglaube, dass strengere Richtlinien die Qualität von Passwörtern steigern würden. Gegebenenfalls könnten sie mitunter für eine Verschlechterung der Qualität sorgen. Deutlich gefährlicher sei nach Angaben des Rats, dasselbe Passwort simultan für verschiedene Dienste einzusetzen. Es sei nicht erforderlich, das Passwort bei einem Dienst regelmäßig zu wechseln, es sei denn es gebe Verdacht auf einen Hackangriff oder eine andere Form des Kompromittierens.
In den aktuellen Richtlinien des Bundesamts für Sicherheit in der Informationstechnik (BSI) sei das Passwortalter bereits irrelevant. Das BSI wird zusätzlich dazu aufgefordert, einheitliche Vorgaben für die Passwortrichtlinien bei Behörden und Unternehmen zu setzen. Die Empfehlungen des Open Web Application Security Projects (OWASP) und des US-amerikanischen National Institute of Standards and Technology (NIST) seien dabei hilfreiche Orientierungspunkte. Sowohl OWASP als auch NIST nutzen kaum noch Einschränkungen bei der Passwortvergabe, sodass Nutzerinnen und Nutzer mehr Freiheiten bei der Wahl des Kennwortes zugesprochen werden.
In dem Verein Weisenrat für Cybersicherheit haben sich unter anderem die Deutsche Telekom oder Bechtle sowie andere Unternehmen mit wissenschaftlichen Institutionen wie dem Fraunhofer-Institut und öffentlichen Stellen zusammengeschlossen und arbeiten gemeinsam. Der Weisenrat will nun jährlich einen Bericht veröffentlichen, der für Politik und Wirtschaft als Orientierung und Handlungsempfehlung dienen kann.