Also ich hätte nicht gedacht, dass ich das noch mal sagen werde, aber für diese Empfehlungen kann man GCHQ nur loben. Da hat jemand das Hirn eingeschaltet - im Gegensatz zu so manchem Admin bzw. so mancher Firmen-Password-Policy.
Regelmäßiges Ändern von Passwörtern bringt einfach gar nichts - außer größere Unsicherheit! Was machen die Leute denn, wenn sie das Passwort regelmäßig ändern müssen? Glaubt wirklich irgendjemand ernsthaft, dass sich die Leute dann jedesmal ein neues, hoch komplexes und vom vorherigen völlig verschiedenes Passwort ausdenken? Natürlich tun die Nutzer das nicht! Warum? Weil die Nutzer Menschen sind und unser Hirn damit überfordert ist. Also wird eben im besseren Fall 1, 2, 3 etc. ans ansonsten sichere und komplexe Passwort gehängt oder ähnliches. Im schlechteren Fall wird das Passwort aufgeschrieben und im Büro versteckt verwahrt. Im noch schlechteren wird das Passwort mit nem Post-it an den Monitor geklebt.