Il faut toujours se rappeler qu'un mot de passe n'est pas inviolable dans le temps. C'est pour cette raison qu'il est nécessaire d'en changer régulièrement. Il ne doit pas non plus être « universel », c'est-à-dire servir comme mécanismes de déverrouillage d'un utilisateur pour tous les services auprès desquels il s'authentifie. Ainsi en cas de compromission d'un poste de travail ou d'installation d'un renifleur réseau ou de clavier, une personne malveillante ne récupérera que ce qu'il aura pu attraper dans ses filets et l'impact sur les systèmes d'information sera plus limité.

Dans le cas contraire, ce sont tous les systèmes auxquels l'utilisateur a accès qui tomberaient, y compris ceux auxquels il ne se connecte que quelque fois par an et qu'il risque, par ce fait, d'oublier d'avertir de la compromission de son mot de passe.