Non è necessario modificare la chiave HMAC se non si ritiene che sia stata compromessa (o per qualche altro motivo, si desidera che i messaggi autenticati con la vecchia chiave non siano più considerati validi). Supponendo che tu usi una funzione di hash ragionevole, firmare "troppi" messaggi con la stessa chiave non compromette la chiave.
Tutta la sicurezza dell'HMAC viene mantenuta segreta dalla chiave HMAC, quindi inviarla in chiaro avrebbe quasi certamente vanificato l'intero scopo dell'utilizzo di HMAC piuttosto che un semplice hash pubblico non cifrato. Se è necessario essere in grado di cambiare le chiavi, è preferibile fare affidamento sulla crittografia asimmetrica (a chiave pubblica), anche se non si è dichiarato sufficiente sulla propria applicazione affinché sia possibile una raccomandazione più specifica.