Uno de los consejos generales sobre la seguridad de las cuentas es que los usuarios deben cambiar sus contraseñas con regularidad. La razón de este enfoque es minimizar el tiempo que una contraseña es válida, en caso de que alguna vez se vea comprometida. Toda esta estrategia se basa en el asesoramiento histórico de los principales grupos de ciberseguridad, como el NIST estadounidense o el Instituto Nacional de Estándares y Tecnología.
Durante décadas, los gobiernos y las corporaciones siguieron este consejo, lo que obligó a sus usuarios a restablecer las contraseñas con regularidad, generalmente cada 90 días. Sin embargo, con el tiempo, la investigación ha demostrado que este enfoque no funciona como se esperaba y en 2017 NIST junto con los británicos NCSCo el Centro Nacional de Seguridad Cibernética han cambiado sus recomendaciones para exigir cambios de contraseña solo si existe una sospecha razonable de un compromiso.
¿Por qué se cambió el Consejo?
El consejo de cambiar las contraseñas con regularidad se implementó originalmente para aumentar la seguridad. Desde un punto de vista puramente lógico, el consejo de actualizar las contraseñas con regularidad tiene sentido. Sin embargo, la experiencia real es ligeramente diferente. La investigación ha demostrado que los usuarios que se vieron obligados a cambiar sus contraseñas con regularidad eran significativamente más propensos a usar una contraseña similar que solo podían elevar. Por ejemplo, en lugar de elegir contraseñas como «9L = Xk & 2>», los usuarios elegirían contraseñas como «Spring2019!» Utilizar.
Resulta que las personas que se ven obligadas a crear y recordar varias contraseñas, y luego cambiarlas con regularidad, siguen usando contraseñas fáciles de recordar que son menos seguras. El problema con las contraseñas incrementales como «Spring2019!» es que son fáciles de adivinar y luego facilitan la predicción de cambios futuros. Combinado, esto significa que al forzar el restablecimiento de las contraseñas, los usuarios deben elegir contraseñas más fáciles de recordar y, por lo tanto, más débiles que, por lo general, socavan activamente el beneficio previsto de reducir el riesgo futuro.
En el peor de los casos, un hacker podría utilizar la contraseña «Spring2019!» dentro de unos meses de validez. En este punto, puede probar variaciones con «Otoño» en lugar de «Primavera» y es probable que obtenga acceso. Si la empresa detecta esta brecha de seguridad y luego obliga a los usuarios a cambiar sus contraseñas, es muy probable que el usuario afectado haya cambiado su contraseña en el «invierno de 2019». y piensan que están a salvo. El hacker, que conoce el patrón, puede intentarlo cuando recupere el acceso. Dependiendo de cuánto tiempo un usuario se haya apegado a este patrón, un atacante podría usarlo para obtener acceso durante varios años y al mismo tiempo hacer que el usuario se sienta seguro ya que cambia regularmente su contraseña.
¿Cuál es el nuevo consejo?
Para alentar a los usuarios a evitar las contraseñas formuladas, ahora se recomienda que las contraseñas solo se restablezcan cuando exista una sospecha razonable de que han sido comprometidas. Al no obligar a los usuarios a recordar nuevas contraseñas con regularidad, es más probable que elijan una contraseña segura.
En relación con esto, hay una serie de otras recomendaciones que deberían fomentar la creación de contraseñas más seguras. Esto incluye asegurarse de que todas las contraseñas tengan al menos ocho caracteres y que el número máximo de caracteres sea de al menos 64 caracteres. También se recomendó que las empresas comiencen a alejarse de las reglas de complejidad y utilicen listas de bloqueo mediante el uso de diccionarios con contraseñas débiles como «¡ChangeMe!» y «Password1» que cumplen con muchos requisitos de complejidad.
La comunidad de ciberseguridad está de acuerdo casi unánimemente en que las contraseñas no deben expirar automáticamente.
Nota: Desafortunadamente, en algunos escenarios esto puede ser necesario ya que algunos gobiernos aún no han cambiado las leyes que exigen la expiración de las contraseñas para sistemas confidenciales o clasificados.
