どのセキュリティー入門書にもパスワードの定期変更はセキュリティー対策として載っていますよね。先に書いたとおり、実際にはパスワードの強度がこれで高まるわけではありません。ブクマコメントいただいたので若干補足。

ockeghem security, password 『パスワードの定期変更って、防御策じゃなくて、事後対応策』<「サイレント・バンカー」に対しては事後対応策としても役に立たないでしょ。どういう場合に事後対応として有益なのか、世の中の説明を見ても不明確

asahi.com(だっけ？)へのツッコミとしては正しいですね。サイレント・バンカーはそういう意味では「ウイルスに引っかからない」ことしか防御策がありませんし…
で、事後対応としては僕の説明したとおりで、一発勝負の例えば「クラックして情報全部一気にぶっこ抜いちゃえ」みたいな攻撃の場合、パスワード判明＝アウトです。役に立ちません。が、産業スパイがクラックできたアカウントを定期的にこっそり使う、というような場合は変更することでリスクを減らせます。それだけのことでしかないけど。
あと、事前防御策としての効果はないわけではありません。どうもパスワードへの攻撃というとリモートなイメージがありますが、ご存知の通り、一番漏洩しやすいのは付箋とかそういうメモ書きからですね。あとは推定。ローカルでの攻撃は、その人となり(趣味とかそういうの)を知っての上で攻撃するので、家族の名前とか、ペットの名前とか、パスワードポリシーで禁止されていないレベルで使用されてしまいますが、当然攻撃者はそれを試みるでしょう。同じパスワードの使い回しが出来ない状態で、定期変更をさせられていれば避けられます。
あと、ほら、自転車のナンバーキーって使っているところだけ綺麗だからすぐわかったりするじゃないですか。そういった類、例えば手癖とかをたびたび観察されることで漏洩してしまう、ということもあります。
ここまで書いたことでわかると思いますが、この対策って基本的に、企業ユーザーの対策なんですよね。パーソナルな空間が保障されている場所ではそれほどの問題にはなりづらい。だから、

iskwrsk セキュリティ デメリットの方が大きい気がするけどね。どっちかというと、セキュリティー対策してますよという銀行側のユーザーに対するプロパガンダな気がする。

実際にはBtoCのサイトでそれほど有効とも思えませんのであんまり銀行もアナウンスしていないような。実際、強制的にパスワードを変更しないと使わせない、という個人向けサイトってあるのかなあ(変更を推奨はされるけど…)。
リスクってのはどこに潜んでいるかわからないし、結局どんなポリシーを作っても個人に依存するのがセキュリティー対策です。とはいえ、特に業務上のものは、あまり無頓着にならないように注意喚起していきたいものですね。