Pour faire simple le NIST vous recommande dorénavant de ne pas forcer les utilisateurs à modifier un mot de passe de manière périodique et systématique. En effet dans une dernière publication que je vous invite à consulter (en anglais) le NIST dans le paragraphe 5.1.1.2 estime que continuer un changement périodique est une mauvaise idée (cf l'article : https://pages.nist.gov/800-63-3/sp800-63b.html#memsecretver). La recommandation n'est plus d'effectuer un changement périodique, mais dès lors que l'on a une suspicion de fuite du mot de passe suite à un piratage ou une erreur de configuration.