Майкрософт давным давно выпустили статью о том, что периодическая смена паролей (раз в месяц, квартал, год) пережиток прошлого и приносит больше вреда для безопасности, чем пользы. У пользователя должна быть возможность сменить пароль в любой момент, когда он сам решил, что это по каким-то причинам нужно сделать. Нужно соблюдать требования к сложности при назначении пароля и использовать 2FA.
ИМХО: Все эти обязательные смены паролей раз в квартал, пол года - дикое зло. По личному опыту. Давно от этого отказался и был рад, когда увидел, что и Майкрософт пришли к таким рекомендациям спустя годы. Не знаю поправили ли они свои учебные курсы. Но когда учился я в 2009 году по курсу М2830 они еще рекомендовали делать периодическую смену паролей. У меня в конспекте сохранилось.