この辺の考え方をまとめたものってありますかね?

うちの会社での最近の笑える話としては、各種のバラバラなシステムに対し "統一セキュリティポリシ" に従うよう 指令がでて、月末申請用システム(1月に1回しか使わない)のパスワードの有効期限が45日になったり、 なんていう事態が発生しています。 どう考えてもおかしい。

頻繁に変えれば総当たり攻撃に強いかという所も変で、 (仮にパスワードのエントロピが変わらなくても) ひたすら総当たり攻撃が続けられているのであれば、 1回の試行に対する突破期待値は変わらないので、長期間の攻撃を実施しての突破危険性も結局変わらないです。

変えない方が良い、とまでは思っていませんが、パスワードの有効期限の短さ競争みたいな 不毛な世界についてなんとかならんのか、と。

間違いでアカウント無効のシステムは導入しない方がよいと思う。悪戯されると使えなくなって困るよ。
そのIPアドレスからのアクセスを数秒無効にするだけで良いんじゃ？

ちなみに、総当り攻撃に強いのは長さと文字の種類であって、頻繁に変えることじゃないよな。
頻繁に変えるのは、進入されたときにパスを変えることによって入れなくするだけでしょ？

＞そちらの方が危険でしょ?、カギを盗ませ易くするだけのことじゃないかと?

物理的メディアの場合

• ネットワーク越しに盗難に遭う可能性が無い
• 盗難に遭えば素人目にも容易にわかる
• 各個人のリテラシに依存したパスワードの強度に頼らなくて良い

というメリットがあります。
もちろん、一時的に拝借して使った後返せばわからないとか、パスワード管理の代わりに物理的メディアの管理を徹底しなくてはいけなくなるとか、物理メディアにしても完璧ではありませんが、フールプルーフという面では、パスワードよりは物理的「鍵」の方が安全性を高める事は容易になります。

あなたは平均的な個人のリテラシをかなり高く見積もっているようですが、実際はお粗末なものですよ。
実際、今国で議論されているキャッシュカードが窃用された場合の金融機関の責任の話でも、暗証番号に生年月日を使っている場合ですら軽過失です。
そのような人にリテラシ教育をするよりは、物理的「鍵」を作ってそれを大事に保管する事を徹底する方が余程簡単です。