Ich rate stark davon ab das Passwort öfter zu rotieren. Diese Praktik impliziert in den meisten Fällen für den Durchschnittsbenutzer eine Senkung des Sicherheitsniveaus da die meisten keine starken Passwörter verwenden.
Die wichtigsten Merkmale für ein starkes Passwort sind neben dem altbekannten (Komplexität und Länge) vor allem das es komplett zufällig und einzigartig (also nur für genau einen Zweck generiert) ist. Solltet Ihr eben so ein Passwort verwenden, besteht kein Grund dieses zu wechseln, außer jemand hat euer Gerät oder den entsprechenden Dienst gehackt.
"Meine" (Das ist so ziemlich Konsens in der Security Community) Ratschläge:
1. Passwörter nicht mehrfach verwenden. Auch die Methode "Basispasswort + Erweiterung je nach Dienst" sollte vermieden werden. Mehrfachverwendung von Passwörtern ist seit Jahrzehnten Schwachstelle #1 für erfolgreiche Angriffe auf Identitäten.
2. Benutzt 2-Faktor Authentisierung wo es nur geht.
3. Greift zum Passwortmanager und lasst von dem ein langes, zufälliges Passwort generieren und speichern. *[1]
4. Wenn das Passwort wirklich oft gebraucht wird und ein Passwortmanager nicht zweckmäßig ist, greift zur
Diceware und lernt die 4-X Wörter auswendig.
5. Im Notfall: Passwörter physisch aufzuschreiben ist durchaus eine valide Option - sofern es nicht offensichtlich platziert und der Zugang zu den Räumlichkeiten geregelt ist.
Für den Fall, dass Euer Account betroffen ist: Das Ändern der Passwörter ist zwar wichtig, solange aber nicht bekannt ist woher der Angreifer die Daten hat ist Vorsicht geboten. Es ist nicht grade unwahrscheinlich*[2], dass ein Gerät mit Malware befallen ist. Im Zweifelsfall setzt Eure Kiste lieber mal neu auf.
* [1] Manche behaupten, dass ein Passwortmanager die Sicherheit senkt da ein Angreifer ja "nur" die Datenbank auslesen muss. Wenn ein Angreifer aber in der Lage ist, die Passwortdatenbank von Eurem PC zu klauen dann habt Ihr eh verloren, da der Angreifer bereits Kontrolle über Euer Gerät hat.
* [2] Wenn auch die Tendenz aktueller Malware ehr in die Richtung Ransomware und Cryptominer geht.
*[3] Die Malware "entfernen" lassen vom Schlangenöl aka Virenschutz Eurer Wahl ist keine saubere Lösung. Ihr habt bereits die Kontrolle über das Gerät verloren, das Schlangenöl sieht dann nur das was es sehen soll. Es ist weit verbreitet, das Malware noch weitere Software nachläd.