Uno de los consejos habituales de seguridad de las cuentas es que los usuarios deben cambiar sus contraseñas con regularidad. El razonamiento detrás de este enfoque es minimizar el período de tiempo durante el cual una contraseña es válida, en caso de que alguna vez se vea comprometida. Toda esta estrategia se basa en el asesoramiento histórico de los principales grupos de ciberseguridad, como el NIST estadounidense o el Instituto Nacional de Estándares y Tecnología.
Durante décadas, los gobiernos y las empresas siguieron este consejo y obligaron a sus usuarios a restablecer las contraseñas con regularidad, generalmente cada 90 días. Sin embargo, con el tiempo, la investigación mostró que este enfoque no funcionaba según lo previsto y, en 2017, el NIST, junto con el NCSC del Reino Unido , o el Centro Nacional de Seguridad Cibernética, cambiaron sus consejos para requerir solo cambios de contraseña cuando existe una sospecha razonable de compromiso.
El consejo de cambiar las contraseñas con regularidad se implementó originalmente para ayudar a aumentar la seguridad. Desde una perspectiva puramente lógica, el consejo de actualizar las contraseñas con regularidad tiene sentido. Sin embargo, la experiencia del mundo real es ligeramente diferente. La investigación mostró que obligar a los usuarios a cambiar regularmente sus contraseñas los hacía significativamente más propensos a comenzar a usar una contraseña similar que simplemente podrían incrementar. Por ejemplo, en lugar de elegir contraseñas como “9L = Xk & 2>”, los usuarios utilizarían contraseñas como “Spring2019!”.
Resulta que, cuando se ven obligados a crear y recordar varias contraseñas y luego cambiarlas con regularidad, las personas usan constantemente contraseñas fáciles de recordar que son más inseguras. El problema con las contraseñas incrementales como "Spring2019!" es que se adivinan fácilmente y, a continuación, también facilitan la predicción de cambios futuros. Combinado, esto significa que forzar el restablecimiento de contraseñas empuja a los usuarios a elegir contraseñas más fáciles de recordar y, por lo tanto, más débiles, lo que generalmente socava activamente el beneficio previsto de reducir el riesgo futuro.
Por ejemplo, en el peor de los casos, un pirata informático podría comprometer la contraseña "Spring2019!" a los pocos meses de su vigencia. En este punto, pueden probar variantes con "Otoño" en lugar de "Primavera" y es probable que obtengan acceso. Si la empresa detecta esta infracción de seguridad y luego obliga a los usuarios a cambiar sus contraseñas, es muy probable que el usuario afectado simplemente cambie su contraseña a "Winter2019". y piensan que están seguros. El pirata informático, conociendo el patrón, puede intentarlo si puede obtener acceso nuevamente. Dependiendo de cuánto tiempo un usuario se apegue a este patrón, un atacante podría usarlo para acceder durante varios años, mientras el usuario se siente seguro porque cambia regularmente su contraseña.
Para ayudar a alentar a los usuarios a evitar las contraseñas formuladas, el consejo ahora es restablecer las contraseñas solo cuando exista una sospecha razonable de que han sido comprometidas. Al no obligar a los usuarios a recordar regularmente una nueva contraseña, es más probable que elijan una contraseña segura en primer lugar.
Junto con esto, hay una serie de otras recomendaciones destinadas a fomentar la creación de contraseñas más seguras. Estos incluyen asegurarse de que todas las contraseñas tengan al menos ocho caracteres como mínimo absoluto y que el número máximo de caracteres sea de al menos 64 caracteres. También recomendó que las empresas comiencen a alejarse de las reglas de complejidad hacia el uso de listas de bloqueo utilizando diccionarios de contraseñas débiles como "¡ChangeMe!" y “Contraseña1” que cumplen con muchos requisitos de complejidad.
La comunidad de ciberseguridad está de acuerdo casi unánimemente en que las contraseñas no deben caducar automáticamente.
Nota: Desafortunadamente, en algunos escenarios, aún puede ser necesario hacerlo, ya que algunos gobiernos aún tienen que cambiar las leyes que exigen el vencimiento de la contraseña para sistemas confidenciales o clasificados.
Chrome, de forma predeterminada, no muestra la URL completa. Puede que no le importe demasiado este detalle, pero si por alguna razón necesita que se muestre la URL completa, encontrará instrucciones detalladas sobre cómo hacer que Google Chrome muestre la URL completa en la barra de direcciones.
Reddit cambió su diseño una vez más en enero de 2024. Los usuarios del navegador de escritorio pueden ver el rediseño y reduce el feed principal al tiempo que proporciona enlaces.
Escribir tu cita favorita de tu libro en Facebook lleva mucho tiempo y está lleno de errores. Aprenda a usar Google Lens para copiar texto de libros a sus dispositivos.
A veces, cuando estás trabajando en Chrome, no puedes acceder a ciertos sitios web y aparece el error "No se pudo encontrar la dirección DNS del servidor de reparación en Chrome". Así es como puede resolver el problema.
Los recordatorios siempre han sido lo más destacado de Google Home. Seguramente nos hacen la vida más fácil. Hagamos un recorrido rápido sobre cómo crear recordatorios en Google Home para que nunca dejes de hacer recados importantes.
Cómo cambiar tu contraseña en el servicio de vídeo en streaming Netflix usando tu navegador preferido o aplicación de Android.
Si desea deshacerse del mensaje Restaurar páginas en Microsoft Edge, simplemente cierre el navegador o presione la tecla Escape.
¿Busca una alternativa confiable de Google Voice para llamadas telefónicas? Descubra las mejores alternativas de llamadas VoIP a Google Voice.
Un sombrero negro es un hacker que victimiza a las personas y viola la ley. Sigue leyendo para saber más sobre el tema.
¿No sabes qué es un ciberdelincuente? Un ciberdelincuente es un delincuente que comete delitos principalmente utilizando sistemas informáticos.
