Organisaties moeten stoppen met de verplichte periodieke wachtwoordwijzigingen voor normale gebruikers, zo stelt de Franse privacytoezichthouder CNIL. Alleen voor systeembeheerders is dit nodig. CNIL heeft een document gepubliceerd met advies over het omgaan met wachtwoorden. Het gaat dan bijvoorbeeld om zaken als hoe sterk een wachtwoord moet zijn en het gebruik van hashing voor de opslag van wachtwoorden.

Daarbij moeten organisaties geen verouderde hashing-algoritmes gebruiken, zoals MD5 of SHA-1. Gisteren meldde Security.NL dat de toezichthouder organisaties boetes had opgelegd voor het gebruik van SHA-1. Verder stelt CNIL dat gebruikers niet periodiek moeten worden gevraagd om hun wachtwoord te wijzigen, in tegenstelling tot systeembeheerders. Daarnaast moeten er voor systeembeheerders strengere wachtwoordeisen gelden.

Verder adviseert CNIL om het gebruik van de "paste" functie in autocomplete formulieren niet te verbieden, aangezien dit gevolgen heeft voor het gebruik van wachtwoordmanagers. Organisaties zouden hun gebruikers ook moeten voorlichten over verboden praktijken, zoals het delen van wachtwoorden met anderen, het gebruik van een wachtwoord dat aan de hand van de gebruikte context is af te leiden en de opslag van wachtwoorden in de browser zonder master password. Beveiligingsexpert uiten al lange tijd kritiek op het periodiek wijzigen van wachtwoorden, omdat het uitnodigt tot onveilig gedrag.