آژانس اطلاعات امنیتی برتانیا هشدار داد کاربرانی که غالبا پسورد خود را تغییر می دهند با این کار خود امنیت سیستم را پایین می آورند.
بسیاری از مدیران کاربران را مجبور می کنند پسورد خود را در فواصل منظمی مانند هر 30 یا 60 روز یکبار تغییر دهند. CESG بازوی امنیتی فناوری اطلاعات در آژانس نظارتی GCHQ گفت این کار هیچ منافع واقعی به دنبال ندارد و پسوردهای به سرقت رفته بلافاصله مورد استفاده قرار می گیرند.
بنابر این گزارش ها، سازمان ها نباید کاربران را مجبور کنند پسورد خود را مرتبا تغییر دهند و این روند باید متوقف شود. بسیاری از سیاست ها در زمینه پسورد به دنبال این هستند که کاربران را مجبور کنند رمزهایی بکار برند که پیدا کردن آنها سخت است، طولانی هستند و به صورت تصادفی ساخته شده اند.
اما ما این روند را تنها برای تعداد انگشت شماری از رمزها می توانیم مدیریت کنیم؛ و انجام این کار برای رمزهای زیادی که امروزه در زندگی آنلاین خود استفاده می کنیم مقدور نیست.
اکثر کاربران وقتی مجبور به تغییر پسوردهای خود می شوند، پسوردی را انتخاب می کنند که تفاوت جزئی با پسورد قبلی داشته، یا از پسورد دیگر حساب هایشان استفاده می کنند. اما این روند می تواند کار هکرها را راحت تر کند. و اگر هکر ها پسورد قبلی شما را داشته باشند می توانند بر روی پسورد جدید شما کار کنند و به راحتی آن را پیدا کنند.

این یکی از سناریوهای امنیتی ضد شهودی است؛ بیشتر کاربران مجبور به تغییر پسورد حسابهای خود هستند، اما این کار میزان آسیب پذیری ها برای حمله را افزایش می دهد و بیشتر کارشناسان این کار را توصیه نمی کنند.

انقضا منظم پسوردها نه تنها آسیب پذیری های مرتبط با آن را کاهش نمی دهد، بلکه خطر بهره برداری از پسوردهای طولانی را هم افزایش می دهد.

CESG تنها سازمانی نیست که برای متوقف کردن روند انقضای پسوردها تلاش می کند. Lorrie Cranor  تکنولوژیست ارشد در کمسیون تجارت فدرال هم اخیرا به نکته مشابهی اشاره کرد و خاطر نشان کرد که تحقیقات نشان می دهد انقضا اجباری و مکرر پسورها بدون اینکه سودی به همراه داشته باشد موجب ناراحتی و آزار کاربران می شود و در نهایت منجر به پایین آوردن امنیت سیستم می شود.