un renouvellement de mots de passe trop fréquent pourrait inciter les utilisateurs à noter les mots de passe sur une feuille, qui ne sera pas nécessairement conservée en lieu sûr

Enfin, l'ANSSI change de position sur ce point !

Par contre, je ne suis toujours pas d'accord sur la longueur des mots de passe ...
Pourquoi mettre moins de caractère sur un service moins important ? C'est le gestionnaire de mots de passe qui va le retenir, autant ne mettre que des mots de passes longs et complexes non ??

Si vous voulez le texte de l'ANSSI et non l'analyse, c'est par ici.