┬┐Deber├şan obligarse los usuarios a restablecer sus contrase├▒as con regularidad?

Uno de los consejos generales sobre la seguridad de las cuentas es que los usuarios deben cambiar sus contrase├▒as con regularidad. La raz├│n de este enfoque es minimizar el tiempo que una contrase├▒a es v├ílida, en caso de que alguna vez se vea comprometida. Toda esta estrategia se basa en el asesoramiento hist├│rico de los principales grupos de ciberseguridad, como el NIST estadounidense o el Instituto Nacional de Est├índares y Tecnolog├şa.

Durante d├ęcadas, los gobiernos y las corporaciones siguieron este consejo, lo que oblig├│ a sus usuarios a restablecer las contrase├▒as con regularidad, generalmente cada 90 d├şas. Sin embargo, con el tiempo, la investigaci├│n ha demostrado que este enfoque no funciona como se esperaba y en 2017 NIST junto con los brit├ínicos NCSCo el Centro Nacional de Seguridad Cibern├ętica han cambiado sus recomendaciones para exigir cambios de contrase├▒a solo si existe una sospecha razonable de un compromiso.

┬┐Por qu├ę se cambi├│ el Consejo?

El consejo de cambiar las contrase├▒as con regularidad se implement├│ originalmente para aumentar la seguridad. Desde un punto de vista puramente l├│gico, el consejo de actualizar las contrase├▒as con regularidad tiene sentido. Sin embargo, la experiencia real es ligeramente diferente. La investigaci├│n ha demostrado que los usuarios que se vieron obligados a cambiar sus contrase├▒as con regularidad eran significativamente m├ís propensos a usar una contrase├▒a similar que solo pod├şan elevar. Por ejemplo, en lugar de elegir contrase├▒as como ┬ź9L = Xk & 2>┬╗, los usuarios elegir├şan contrase├▒as como ┬źSpring2019!┬╗ Utilizar.

Resulta que las personas que se ven obligadas a crear y recordar varias contrase├▒as, y luego cambiarlas con regularidad, siguen usando contrase├▒as f├íciles de recordar que son menos seguras. El problema con las contrase├▒as incrementales como ┬źSpring2019!┬╗ es que son f├íciles de adivinar y luego facilitan la predicci├│n de cambios futuros. Combinado, esto significa que al forzar el restablecimiento de las contrase├▒as, los usuarios deben elegir contrase├▒as m├ís f├íciles de recordar y, por lo tanto, m├ís d├ębiles que, por lo general, socavan activamente el beneficio previsto de reducir el riesgo futuro.

En el peor de los casos, un hacker podr├şa utilizar la contrase├▒a ┬źSpring2019!┬╗ dentro de unos meses de validez. En este punto, puede probar variaciones con ┬źOto├▒o┬╗ en lugar de ┬źPrimavera┬╗ y es probable que obtenga acceso. Si la empresa detecta esta brecha de seguridad y luego obliga a los usuarios a cambiar sus contrase├▒as, es muy probable que el usuario afectado haya cambiado su contrase├▒a en el ┬źinvierno de 2019┬╗. y piensan que est├ín a salvo. El hacker, que conoce el patr├│n, puede intentarlo cuando recupere el acceso. Dependiendo de cu├ínto tiempo un usuario se haya apegado a este patr├│n, un atacante podr├şa usarlo para obtener acceso durante varios a├▒os y al mismo tiempo hacer que el usuario se sienta seguro ya que cambia regularmente su contrase├▒a.

¿Cuál es el nuevo consejo?

Para alentar a los usuarios a evitar las contraseñas formuladas, ahora se recomienda que las contraseñas solo se restablezcan cuando exista una sospecha razonable de que han sido comprometidas. Al no obligar a los usuarios a recordar nuevas contraseñas con regularidad, es más probable que elijan una contraseña segura.

En relaci├│n con esto, hay una serie de otras recomendaciones que deber├şan fomentar la creaci├│n de contrase├▒as m├ís seguras. Esto incluye asegurarse de que todas las contrase├▒as tengan al menos ocho caracteres y que el n├║mero m├íximo de caracteres sea de al menos 64 caracteres. Tambi├ęn se recomend├│ que las empresas comiencen a alejarse de las reglas de complejidad y utilicen listas de bloqueo mediante el uso de diccionarios con contrase├▒as d├ębiles como ┬ź┬íChangeMe!┬╗ y ┬źPassword1┬╗ que cumplen con muchos requisitos de complejidad.

La comunidad de ciberseguridad está de acuerdo casi unánimemente en que las contraseñas no deben expirar automáticamente.

Nota: Desafortunadamente, en algunos escenarios esto puede ser necesario ya que algunos gobiernos a├║n no han cambiado las leyes que exigen la expiraci├│n de las contrase├▒as para sistemas confidenciales o clasificados.

Deja un comentario