パスワードの定期変更すべき根拠

ockeghemさんのパスワードの定期変更は「神話」なのか?を読んで思ったことを書いてみます。
全体的にパスワードに対する攻撃に対してパスワードを定期的に変更することは効果があまりない。という書き方をされているように感じました。
ブルートフォース攻撃や辞書攻撃に対しては大して意味がないかもしれませんが、パスワードを盗聴されたり、漏洩などで流出した場合についてはパスワードの定期的な変更によって防ぐことが出来る場合があるので意味があると思います。
システムアカウントにしても、アプリケーションのユーザIDにしても、必要なユーザの数だけ登録しますが、実際用意した分全部が常に使われているかというと、そうでもないことが多いと思います。
セキュリティ上で、使われていない休眠アカウントをいつまでも使える状態にしておくことは良くないので、90日ごとにパスワードを変更しないユーザ(あまりシステムを利用しないユーザ)はアカウントロックされた状態にしておくことが望ましいでしょう。
あと、90日毎という妥当性について述べられているところは、カード番号の話とシステムのアカウントの話がごっちゃに書かれている気がしました。特に「パスワードを90日毎に変更しなければならないのであれば、カード番号も90日毎に変更すべきである」というところはあまりに議論が飛躍しすぎていると思います。