Exigir a mudança de passwords mensal...

... tem por resultado, se auditarmos as contas dos utilizadores, qualquer coisa como isto: 201001, 201002, ..., 201012, ou, em ambientes mais criativos, Treta01, Treta02, ..., Treta12. O valor acrescentado, em ambos os casos, é praticamente o mesmo: pouco mais do que uma... Treta : )

Vale mais alargarmos o prazo de validade das passwords, ao mesmo tempo que aumentamos a exigência sobre a sua complexidade, do que mantermos os níveis de complexidade mais baixos e exigirmos a mudança tão frequente. Sobretudo se estiver alinhada com os meses.

O resultado, no segundo caso, é potencialmente pior.