Считаю, что должно быть в рамках разумного. А то политикой установлено менять пароль каждые 2 месяца: пароли не повторяются, символы подряд запрещены и т.п., увеличивается уровень ИБ… как бы не так, пользователи не могут запомнить пароли от 3-7 систем в которых работают, в итоге листок с паролями лежит где-то на столе, и никакой брут форс не нужен. А с учетом того что стойкий пароль трудно брутфорсить, актуальность критичной информации за время брутфорсинга, может исчезнуть. Считаю, что 2 факторная аутентификация с сильными паролями эффективнее чем смена паролей каждые 2-3 месяца. И с организационной точки проще, при условии компрометации одного из идентификаторов, блокировка всего профиля.