Для систем без защиты от брутфорса, менять нужно.
Допустим пароль имеет определенное количество символов, полный перебор которых у злоумышленника занимает год. Если вы не меняете пароль, то через год, аккаунт гарантированно украдут. А если меняете каждый месяц, то вероятность кражи всегда примерно одинакова и она намного меньше.