¿Es una buena idea vencer las contraseñas después de un tiempo en relación con su seguridad?

No. La caducidad de la contraseña no es para proteger contra hashes para ser descifrado. La caducidad de la contraseña es más bien evitar que un pirata informático no tenga acceso sin restricciones a una cuenta previamente comprometida;

Si un pirata informático tiene tal acceso a un sistema para poder obtener los hashes de contraseña, a menudo significa que el pirata informático tiene suficiente acceso al sistema en cuestión para que el pirata informático no tenga que autenticarse.

En su lugar, sugeriría usar tiempos de caducidad variables que estén sincronizados con el nivel de acceso. Por ejemplo, un usuario regular que no tiene acceso a nada, excepto a una estación de trabajo con acceso a Internet, puede tener una contraseña con menos requisitos y sin caducidad. Un usuario mediano que tiene acceso a algunos datos confidenciales, por ejemplo, podría tener una política de contraseñas más sólida y su caducidad, por ejemplo, cada 6 meses. Y los sysops / sysadministrators limitados / locales tienen una política de contraseñas y una caducidad de contraseña aún más sólidas después de 90 días. Y los administradores globales podrían simplemente tener las políticas de contraseña más seguras y 30 días de caducidad.

Si el sistema en cuestión es personalizado, por ejemplo, una interfaz web personalizada o similar, podría indicar que los requisitos de complejidad y caducidad de la contraseña se derivan directamente del nivel de acceso codificado para el usuario en cuestión. (Y, por supuesto, puede crear un factor de complejidad fuera de la longitud y complejidad de la contraseña, permitiendo que una contraseña más larga reemplace una compleja y viceversa)