Microsoft hace poco tiempo declaro que los cambios de contraseña son obsoletos. Esto va en contra de todo lo que nos han enseñado y hemos aprendido en las últimas décadas.
De igual manera, Microsoft no ha ido muy lejos, ya que la contraseña, es solo una pequeña parte de las medidas de seguridad, hay otros inconvenientes muy importantes para los usuarios que hacen una mala política de seguridad y que deben solucionarse.
Un principio más destructivo de la seguridad de TI, es el axioma de que la seguridad es lo opuesto a la simplicidad. Podemos ver esto en los comics “Dilbert” que representan el entorno típico de TI y tienen un carácter recurrente llamado “Mordac, el preventor de los servicios de información”, que llega a tomar la creencia común de que el equipo de seguridad de IT está para burlarse e idealmente bloquear todas las funciones utilizables.

El axioma puede tener como un extremo: si se puede bloquear el acceso a una maquina (Ej: enterrar una computadora debajo de 40 pies de concreto) se haría seguro y completamente inútil al mismo tiempo.
Por el otro extremo también es correcto: si cierta computadora le damos libre acceso, será completamente inseguro: hasta alguien que recién arranca en la ciberdelincuencia podrá acceder a cualquier tipo de información de este servidor.

Las contraseñas desde un comienzo fueron usadas para controlar el acceso a dispositivos. Eje: las llaves de las puertas son contraseñas que manejan quien puede entrar y quién no.
A medida que pase el tiempo, las contraseñas se convierten en una identificación. En la seguridad clásica llamamos acceso basado en algo que se, ese algo es la contraseña correcta.

Tratando de evitar que adivinen nuestra contraseña se jugaba un juego; elijo una contraseña secreta y no te la digo, la única manera de que puedas saber cuál es, es adivinar.
Hay más de 88.000 palabras en el idioma español, buena suerte tratando de adivinar, suponiendo que las palabras existan.

Todo comenzó cuando las computadoras intentaban atacar otras computadoras. Las contraseñas son asimétricas: las maquinas tienen una memoria perfecta mientras que los humanos no tienen esa facilidad, también se toman tiempo para pensar, escribir cosas mientras que a las computadoras les toma milisegundos.
En ese momento es donde las cosas dieron un mal giro, aplicando de que la seguridad es lo opuesto a la usabilidad.
Los expertos optaron por contraseñas más complejas (Símbolos, números, mayúsculas).

Mordac es el preventor de servicios de información, causa que sea más difícil para los usuarios, pero no hay duda que está bloqueando a los posibles atacantes.
Se ha demostrado que esto no es cierto, pero aparte, descarrilo al sector de la seguridad de encontrar una buena solución al problema.
El ser humano quiere todo fácil, patrones simples, contraseñas como 123456 por lo fácil que son de recordar. Los equipos de prevención obligaron a los usuarios a utilizar contraseñas más completas, pero los humanos no salen mucho de lo común, ahora adaptaron sus números simples a abc123.

Comenzó una carrera armamentista entre los usuarios y el personal de seguridad de TI.
El personal de TI estaba ocupado implementando políticas de contraseñas avanzadas mientras que los usuarios estaban buscando maneras de eludir estas políticas.
Sin hablar de las contraseñas secretas en las notas de post-it en la oficina. Los atacantes que usaban computadoras, aun podían descifrar las contraseñas simples de varias maneras. Resumen: baja seguridad, baja usabilidad.
Después de un tiempo, vino la contraseña compleja única: el usuario puede tener una contraseña larga, compleja y recordarla, el problema es que usa docenas de cientos de servicios en línea y estos piden que utilice una contraseña de seguridad. Todo está bien por un tiempo, hasta que los atacantes explotan uno de esos servicios en línea.
Hasta que los atacantes comprometan uno de esos servicios en línea. Al principio no parece alarmante pero el problema es que mi contraseña está expuesta, quien iba a decir que es la misma que uso para mi cuenta bancaria y mi servidor en el trabajo.
Antes de enterarme que mi contraseña puede estar comprometida, docenas de mis servicios en línea ya están siendo pirateados, esto pasa porque las computadoras tienen la capacidad de probar mi contraseña contra miles de servicios en línea de inmediato.
Las contraseñas son la dirección incorrecta, esto nos llevó más de 30 años descubrirlo.
El Bank of America permite elegir cualquier PIN de 4 digitos. Esto lo hacen de manera que pueda recordarlo y no necesitas escribirlo. Uno se pregunta, ¿Por qué es seguro un PIN simple de 4 dígitos?, la respuesta es fácil. Porque requiere "algo que tengo" (una tarjeta de débito) además de algo que sé (el código PIN).
Gmail y Facebook utilizan el mismo método cuando le envían un SMS para confirmar que realmente es usted quien inicia sesión en la cuenta: un teléfono móvil es algo que tiene.

En fin, el mundo de la seguridad se está dando cuenta de que incomodando a los usuarios no es la forma correcta de mejorar la seguridad.
El trabajo de los profesionales de la seguridad es encontrar soluciones de seguridad que brinden la máxima protección con el mínimo inconveniente para los humanos.