Según
"Ha habido varios estudios que han demostrado que requieren frecuentes cambios de contraseña para ser en realidad contraproducente para una buena contraseña seguridad ... "
Me gustaría ver algunos de estos estudios y agradecería referencias.
Hubo un debate saludable hace un par de años, espero que esté pegado. Veamos: ¿Cómo se cambia su contraseña cada 90? ¿Los días aumentaron la seguridad? fue donde tuvimos esto.
El NIST en sí mismo reúne los comentarios de la industria, las agencias gubernamentales (más específicamente: la comunidad de inteligencia) y proporciona pautas al gobierno sobre cómo asegurar sus sistemas contra las naciones que los roban. Me doy cuenta de que es una apelación a la autoridad y no una referencia, pero espero que ayude a proporcionar un contexto para el NIST.
Lea otras preguntas en las etiquetas password-policy reference-request