パスワードについて、この記事なんかは分かりやすいと思う。
パスワードの更新が必要な場面というのも指摘しているけど、逆に言えば、通常は更新する必要が無いとも言えるはず。
https://www3.nhk.or.jp/news/special/sci_cul/2022/05/story/story_0511/
ID・パスワード・ドメインをセットで管理するという前提のもと、いちいちパスワードの入力画面を表示させること無しに、それらの情報をやり取りするプロトコルを作ってしまうわけにはいかないのだろうか?
サービスが先にある場合は、初期設定の段階だけパスワードを入力すれば、新たなパスワードを作成して管理ソフトが記憶し、その後は自動で管理ソフトが認証の役目を果たすみたいな感じ。
そこまで自動化されるなら、必要に応じて、利用者の見えないところでアクセスする度にパスワードを勝手に更新することだってできそうだし。
まぁ、googleやappleやfacebookのアカウントで認証するのが、事実上、これに対応するのかな。
それらのアカウントの性質上、法人では難しいかもしれないけど、個人ならそれで十分な気がする。