「定期的にパスワードを変更」すべきか否か、セキュリティの話でたびたび繰り返されるテーマです。
だいたいの話は徳丸浩さんが昨年書かれたエントリで完結してると思います。
（私も定期的に変更するのはあまり意味が無いと思ってます）

ところで、↑のエントリのコメントの一つを、高木浩光さんがブックマークしてました。

「総当りで試し終わる前にパスワードが変わってしまうことになります」< これが（私の待ち望んでいた）典型的誤解。パスワード変更しても突破確率はたいして変わらない。これが直感でわからない人達がいるのが原因。

http://b.hatena.ne.jp/HiromitsuTakagi/20090806#bookmark-15186383

一応直感で分かってる（つもり）のpochi-pですが、（自分が）間違ってる可能性もあるので一度きっちり検証してみたいと思います。

そんな訳で、夏休みの自由研究は「パスワードを定期的に変更する効果を数学（というより算数？）的に確認してみる」です。
（私は数学ガールの感想を「え、えーと。ミルカさんもテトラちゃんも可愛いね！」と誤魔化すしかないレベルの数学知識なので、どっかの式で計算間違いしてるかもしれません）