「パスワードクラックされて，仮に破られても，すでに変更済みだったら大丈夫だよね」
　それ，前提違わなくね？
　ある瞬間のパスワードハッシュに対してクラックされている，ってことはさ。
　passwd なり shadow なり _SAM なり持っていかれてる，ってことでしょ。
　管理者権限とられてるんじゃね？
　その時点で意味なくね？
　
　「パスクラされても毎月変更してたら一ヶ月で被害が途切れるよね」
　バックドア置かれたら永久コースだよね？
　その瞬間にありったけ持っていかれたら終了だよね？
　
　「そもそもパスクラされても情報持っていかれないように制限してるから」
　え？じゃあ定期的に変えなくても大丈夫じゃん。変えなきゃいけないのはアカウントのオーナーが変動した場合だけでしょ。
　
　管理者権限を複数の担当者で持っている場合に，担当者が変更になった場合にのみパスワードを変更する必要があります。
　でも，利用者レベルでは・・・？
　
　これって，「サーバのバージョン情報は隠しましょう」レベルのおまじないだよね。