De AVG, maar ook de ISO27000 serie (informatiebeveiligingsstandaarden) geven hiervoor geen termijn. Vuistregel is: hoe korter een wachtwoord geldig is en hoe sneller deze moet worden gewijzigd, hoe beter. Het is wel belangrijk om ook aanvullende beveiligingsmaatregelen te nemen, zoals instellen van 2FA, het gebruik van een wachtwoordmanager en überhaupt een sterk wachtwoord kiezen. Zie hierover ook het advies van Nationaal Cyber Security Centrum (NCSC) in de factsheet hier. Uiteindelijk is het aan de organisatie zelf om hierin te besluiten op basis van een risico-inschatting.
Een lange geldigheidsduur van een wachtwoord (dus bijvoorbeeld in plaats van drie maanden één jaar) vormt met name een risico omdat als bij een hack wachtwoorden buit worden gemaakt, deze wachtwoorden ook langer bruikbaar (en dus van waarde) zijn voor cybercriminelen. Deze worden namelijk vaak verkocht via het darkweb aan hen en kunnen dus langer gebruikt worden voor criminele activiteiten. Door de geldigsheidsperiode te verkleinen, wordt dat risico ook verkleind.
