È una buona idea scadere dopo un po 'di tempo le password relative alla loro sicurezza?

No. La scadenza della password non protegge da hash cracking. La scadenza della password è piuttosto quella di impedire che un hacker non abbia accesso senza impedimenti a un account precedentemente compromesso - ciò è stato compromesso, diciamo a causa della spalletta.

Se un hacker ha un tale accesso a un sistema in modo da poter ottenere gli hash delle password, spesso significa che l'hacker ha un accesso sufficiente al sistema in questione, quindi l'hacker non avrà bisogno di autenticarsi.

Suggerirei invece di utilizzare i tempi di scadenza variabili sincronizzati con il livello di accesso. Ad esempio, un utente normale che non ha accesso a nulla tranne una workstation con accesso a Internet, può avere una password con meno requisiti e senza scadenza. Un utente medio che ha accesso ad alcuni dati riservati, potrebbe ad esempio avere una password più sicura e la scadenza lascia dire ogni 6 mesi. Inoltre, i sysops / amministratori di sistema limitati / locali dispongono di una password e di una scadenza password ancora più potenti dopo 90 giorni. E gli amministratori globali potrebbero semplicemente avere le migliori policy sulle password e 30 giorni di scadenza.

Se il sistema in questione è personalizzato, ad esempio un'interfaccia Web personalizzata o simile, è possibile codificare che la scadenza della password e i requisiti di complessità derivano direttamente dal livello di accesso codificato per l'utente in questione. (E, naturalmente, è possibile creare un fattore di complessità dalla lunghezza e complessità della password, consentendo una password più lunga per sostituire una complessa e viceversa)