1. Если речь идет об паролях пользователей в организации, то кроме всего прочего смена паролей защищает от ситуаций когда пользователь дает свой пароль другому сотруднику во время болезни или другого чп ( несмотря на то что такое обычно запрещено политикой ИБ организации от таких ситуаций не уйти) если не менять пароли принудительно, то через годик получим ситуацию когда в рамках отдела все знают пароли друг друга.
2. Пользователи имеют печальную привычку использовать один пароль везде — чем в больших мест используется пароль тем больше шансов, что он будет скомпроментирован. Если не менять пароли то вполне может оказаться, что из за взлома «плюшевого» сайта под угрозой оказались аккаунты того же киви, где вполне реальные деньги — дабы избежать лишних проблем они и заставляют менять пароли (чтобы хотя бы на их сайте у пользователей пароли были уникальны) (ИМХО)
3. Как писали выше — брутфорс если пароль никогда не менять то за «неограниченное время» годик другой — пароль всеже можно брутфорснуть (вариант 20-30 несвязных символов не рассматриваем «обычные» пользователи редко такие используют)
PS: не смотря на статью, в своих рекомендациях по политикам — MS по прежнему говорит что пароли должны периодически меняться и не повторяться :)
