A menos que exista un marco regulatorio o de cumplimiento en relación con su oferta, los PIN o las contraseñas caducados dependerán de su organización. Generalmente, una compañía u organización definirá esta práctica en su política de seguridad. Si su organización tiene una, debería buscar su respuesta.
Dicho esto, si aún no tiene una política de seguridad, eche un vistazo al marco de la política de seguridad de NIST. Proporcionan un rico ejemplo que podría aplicar a su organización.
En el caso específico de pedirle a un usuario que proporcione un "PIN de recuperación", es probable que no tenga mucho sentido tratar de caducarlo a menos que vaya a pedir que lo cambien periódicamente (esto sería inusual). / p>