Het EU instituut voor informatieveiligheid (Enisa) heeft een aantal aanbevelingen gepubliceerd voor het beveiligen van wachtwoorden. Alleen al dit jaar zijn bij enkele grote incidenten miljoenen gebruikersnamen en wachtwoorden gecompromitteerd, met LinkedIn, Yahoo! Voice en Gamigo als voorbeelden. Aan beide zijden van de keten worden maatregelen voorgesteld.
Service providers moeten wachtwoorden robuust versleutelen (hashen en salten) en voorkomen dat databases gehackt worden. Van de gebruiker kan worden gevraagd een wachtwoord van een bepaalde lengte of structuur te kiezen, dat regelmatig te wijzigen en aan te vullen met een captcha of een dubbele authenticatie (zoals met een sms of token). Aanbieders moeten volgens recente wetgeving ook melding maken van inbreuken.
Enisa adviseert consumenten om wachtwoorden langer te maken en te voorzien van speciale karakters. Verder om een wachtwoord niet meerdere keren te gebruiken en af en toe te wijzigen, zeker na incidenten. Het gebruik van een password generator wordt aangeraden, net als dubbele authenticatie, indien beschikbaar.
