dann hat Zuckerberg in Nullkommanichts das Passwort "dadada" und zwar von mir. Diese Gefahr, dass man Passwort-Hashes auch einfach ersetzen kann, sollte man auch betrachten.
Dauernd Passwörter ändern ist übrigens mMn nicht nötig. Nur wenn wirklich was kompromittiert wurde, dann macht der Aufwand (vor allem bei hunderten von Accounts) im Einzelfall Sinn.
Ein guter Passwortgenerator ist übrigens propass.
https://schwerdtfegr.wordpress.com/2008/12/27/wider-das-passwortvergessen/
Viel wichtiger ist mMn auch Datensparsamkeit und Systemsicherheit. Also wo immer es geht anonyme oder pseudonyme Daten verwenden. Keine persönlichen oder geschäftlichen Daten in die Cloud. Monopole Datenkraken wie Facebook, Google+ oder Disqus sind sowieso tabu.
Das eigene System sauber halten. Regelmäßig Backups. Sicherheitslücken stopfen. Immer einen aktuellen Browser und standardmäßig ohne JavaScript (NoScript) surfen. Wer kann setzt ein vollverschlüsseltes Linux ein.
Und es macht auch Sinn sich über Hacks und Sicherheitslücken aktuell zu informieren z.B. bei heise.de im security Ticker.