Parece tudo muito bom (com exceção de renovações periódicas, que eu não gosto). Que bom que decidiram revogar as senhas quando perceberam essa situação, evita maiores problemas.
É preciso ter um certo treinamento, também, sobre onde e como as pessoas podem armazenar as senhas. Talvez aconteça de anotarem num bloco de notas do computador, ou numa nota adesiva no monitor, aí não existe segurança de sistema que coopere com isso.