zl;ng: Regelmäßig gewechselte Passwörter sind in der Regel schwach und folgen einer vorhersehbaren Transformation. Besser ist es, das Passwort nur zu wechseln, wenn man glaubt, dass es kompromittiert ist und auf jeden Fall einen zweiten Faktor zu verwenden.
Wobei hier wahrscheinlich auch die Frage ist, was man als Threatmodel annimmt.
Die meisten Angriffe passieren ja eher ungezielt, es setzt sich also niemand hin und überlegt, welcher Teil des PW geändert worden sein könnte. Selbst wenn, verzehnfacht das mal eben die Länge der normalen Passwort-Listen. Von daher ist es wahrscheinlich schon nicht komplett abstrus.
Der Gedanke war mal, dass man es nicht mitbekommt wenn das Passwort entwendet wurde. Also soll es regelmäßig gewechselt werden, zum einen um etwaige Schäden einzudämmen, zum anderen um bisherige Versuche das PW zu erraten nutzlos zu machen.
In der Realität sieht es aber anders aus, wie Unmutlaut hier in den Kommentaren bereits erwähnte.