パスワードの定期的な変更を要求するのは「昔からそうしてきた」という理由だと思います。今では考えられないことですが、昔のUnix系システムでは（一応暗号化されてはいるものの）誰もが見られるテキストファイルに書かれていたため、じっくりとパスワードの解析ができてしまっていたのです。その時代からの慣習でしょう。

私としては、特にWebシステムがパスワードの変更を促すのは、かえってセキュリティ強度を下げるものと考えています。質問者さんがデメリットとして挙げているような脆弱なパスワードになりがちという点もそうですが、システムからのパスワード変更要求にユーザーが慣れてしまうと、それを騙ったフィッシングに対する警戒心も下がり、何の疑問も持たずにIDとパスワードを入力してしまうかもしれません。

セキュリティ対策としてシステム提供側が行うべきは、パスワードの定期的な変更を要求することではなく、ロックアウトの設定でしょう。続けて何回か認証に失敗したら、しばらくそのアカウントへのログインを受け付けなくするというやつです。総当たりでの攻撃を防げます。

それと、私自身はサービス毎にランダムで生成したパスワードを付けています。当然覚えられないのでパスワード管理アプリを使用しています。

パスワードが覚えられずスマホ・紙等に記録する

紙に書くというのは、私としては状況によってはあながち間違ったセキュリティ対策ではないと考えています。攻撃者がそれを知るには物理的にその紙を入手しなければいけないので、少なくとも見ず知らずの第三者にネット経由でパスワードを知られるという危険はありませんから。

変える必要はないと思います。

パスワードを頻繁に変更すると「パスワードを覚えやすくするため、脆弱なパスワードとなる」ため、「総当たり攻撃に有効（？）」になるどころか弱くなります。

変えない場合の「パスワードが漏洩している場合壊滅的」との指摘ですが、漏洩した場合でもパスワードを頻繁に変更すれば被害を防げる場合というのは、どのようなケースを想定しているのでしょうか？

私は、それが有効になるには、１時間では長すぎるくらいだと考えます。SRAのワンタイムパスワードはそのような対応をするデバイスですが、通常は過剰な対応ではないでしょうか。

h_aさんの回答と似通いますが、提供者側の責任の**「担保」**の一つだと思います。
無論、提供側も対策を考慮した上で設計・開発はしていますが、攻撃者も手を変え品を変え、色々な手段で攻撃を仕掛けてきます。万全を期して作っていても、破られることもあります。定期的な変更はある程度の効果はありますから、利用者にも協力してもらって（＝パスワードを定期的に変える等）、強固なものにしていると考えてもいいのではないでしょうか。

また、今では老若男女、情報知識のレベルに関わらず、色々な人がこうしたシステムを利用しています。システム側が変更を促すのは、セキュリティ意識の低い人に対しての啓蒙活動の一環という側面もあるかなと。

公共交通機関で携帯電話の電源を切るように促されるのと
同じような理由だと個人的に思っています。
提供者側が最善を尽くしたという事実があった方が
もしもの時に助かるのではないかと。