A única senha segura é aquela que você não consegue lembrar

Ultimamente venho pesquisado muitas soluções referente a política de expiração de senha. Como vocês costumam fazer proteção das suas aplicações públicas?
Exemplo: sistema público com login e senha (por CPF ou email)... MFA, duplo fator, política de expiração de senha, etc.