Uno de los consejos de seguridad de cuentas más comunes es que los usuarios deben cambiar las contraseñas con regularidad. El razonamiento detrás de este enfoque es minimizar el período de validez de una contraseña, en caso de que se vea comprometida. Toda esta estrategia se basa en el asesoramiento histórico de los principales grupos de ciberseguridad, como el NIST de EE. UU. O el Instituto Nacional de Estándares y Tecnología.
Durante décadas, los gobiernos y las empresas han seguido este consejo y han obligado a sus usuarios a restablecer sus contraseñas con regularidad, generalmente cada 90 días. Sin embargo, con el tiempo, la investigación ha demostrado que este enfoque no funciona como se esperaba y en 2017 NIST con el Reino Unido NCSC, o el Centro Nacional de Seguridad Cibernética, han cambiado su guía para requerir cambios de contraseña solo cuando existe una sospecha razonable de compromiso.
¿Por qué han cambiado las puntas?
El consejo de cambiar periódicamente las contraseñas se implementó inicialmente para ayudar a aumentar la seguridad. Desde un punto de vista puramente lógico, el consejo de actualizar las contraseñas con regularidad tiene sentido. Sin embargo, la experiencia del mundo real es ligeramente diferente. La investigación ha demostrado que obligar a los usuarios a cambiar regularmente sus contraseñas hace que sea mucho más probable que comiencen a usar una contraseña similar que simplemente pueden incrementar. Por ejemplo, en lugar de elegir contraseñas como “9L = Xk & 2>”, los usuarios utilizarían contraseñas como “Spring2019!”.
Resulta que cuando se ven obligados a buscar y recordar varias contraseñas y luego cambiarlas con regularidad, las personas utilizan constantemente contraseñas que son fáciles de recordar y que ya no son seguras. El problema con las contraseñas incrementales como «Spring2019!» es que son fáciles de adivinar y luego facilitan la predicción de cambios futuros. Combinado, esto significa que forzar el restablecimiento de contraseñas hace que los usuarios elijan contraseñas que son más fáciles de recordar y, por lo tanto, más débiles, lo que generalmente socava activamente el beneficio esperado de reducir el riesgo futuro.
Por ejemplo, en el peor de los casos, un pirata informático podría comprometer la contraseña «Spring2019!» unos meses después de su vigencia. En este punto, pueden probar variaciones con «Otoño» en lugar de «Primavera» y probablemente tendrán acceso. Si la empresa detecta esta falla de seguridad y luego obliga a los usuarios a cambiar sus contraseñas, es muy probable que el usuario afectado simplemente cambie su contraseña a «¡Invierno de 2019!» y piensan que están a salvo. El pirata informático, conociendo el patrón, puede intentarlo si puede acceder de nuevo. Dependiendo de cuánto tiempo permanezca un usuario con este patrón, un atacante podría usarlo para acceder durante varios años, pero aún así sentirse seguro porque cambia regularmente su contraseña.
¿Cuál es el nuevo consejo?
Para ayudar a alentar a los usuarios a evitar contraseñas estereotipadas, ahora es recomendable restablecer las contraseñas solo cuando exista una sospecha razonable de que se han visto comprometidas. Al no obligar a los usuarios a recordar regularmente una nueva contraseña, es más probable que elijan una contraseña segura en primer lugar.
Además, hay una serie de otras recomendaciones destinadas a fomentar la creación de contraseñas más seguras. Esto incluye asegurarse de que todas las contraseñas tengan al menos ocho caracteres como mínimo absoluto y que el número máximo de caracteres sea de al menos 64 caracteres. También recomendó que las empresas comiencen a alejarse de las reglas de complejidad en favor del uso de listas de bloqueo utilizando diccionarios de contraseñas débiles como «¡ChangeMe!» y «Password1» que cumplen con muchos requisitos de complejidad.
La comunidad de ciberseguridad está de acuerdo casi unánimemente en que las contraseñas no deben caducar automáticamente.
Nota: Desafortunadamente, en algunos escenarios aún puede ser necesario hacer esto, ya que algunos gobiernos aún tienen que cambiar las leyes que exigen que las contraseñas caduquen para los sistemas confidenciales o clasificados.