¿Se debería obligar a los usuarios a restablecer sus contraseñas con regularidad?

Uno de los consejos habituales de seguridad de las cuentas es que los usuarios deben cambiar sus contraseñas con regularidad. El razonamiento detrás de este enfoque es minimizar el período de tiempo durante el cual una contraseña es válida, en caso de que alguna vez se vea comprometida. Toda esta estrategia se basa en el asesoramiento histórico de los principales grupos de ciberseguridad, como el NIST estadounidense o el Instituto Nacional de Estándares y Tecnología.

Durante décadas, los gobiernos y las empresas siguieron este consejo y obligaron a sus usuarios a restablecer las contraseñas con regularidad, generalmente cada 90 días. Sin embargo, con el tiempo, la investigación mostró que este enfoque no funcionaba según lo previsto y, en 2017, el NIST, junto con el NCSC del Reino Unido , o el Centro Nacional de Seguridad Cibernética, cambiaron sus consejos para requerir solo cambios de contraseña cuando existe una sospecha razonable de compromiso.

¿Por qué se cambió el consejo?

El consejo de cambiar las contraseñas con regularidad se implementó originalmente para ayudar a aumentar la seguridad. Desde una perspectiva puramente lógica, el consejo de actualizar las contraseñas con regularidad tiene sentido. Sin embargo, la experiencia del mundo real es ligeramente diferente. La investigación mostró que obligar a los usuarios a cambiar regularmente sus contraseñas los hacía significativamente más propensos a comenzar a usar una contraseña similar que simplemente podrían incrementar. Por ejemplo, en lugar de elegir contraseñas como “9L = Xk & 2>”, los usuarios utilizarían contraseñas como “Spring2019!”.

Resulta que, cuando se ven obligados a crear y recordar varias contraseñas y luego cambiarlas con regularidad, las personas usan constantemente contraseñas fáciles de recordar que son más inseguras. El problema con las contraseñas incrementales como "Spring2019!" es que se adivinan fácilmente y, a continuación, también facilitan la predicción de cambios futuros. Combinado, esto significa que forzar el restablecimiento de contraseñas empuja a los usuarios a elegir contraseñas más fáciles de recordar y, por lo tanto, más débiles, lo que generalmente socava activamente el beneficio previsto de reducir el riesgo futuro.

Por ejemplo, en el peor de los casos, un pirata informático podría comprometer la contraseña "Spring2019!" a los pocos meses de su vigencia. En este punto, pueden probar variantes con "Otoño" en lugar de "Primavera" y es probable que obtengan acceso. Si la empresa detecta esta infracción de seguridad y luego obliga a los usuarios a cambiar sus contraseñas, es muy probable que el usuario afectado simplemente cambie su contraseña a "Winter2019". y piensan que están seguros. El pirata informático, conociendo el patrón, puede intentarlo si puede obtener acceso nuevamente. Dependiendo de cuánto tiempo un usuario se apegue a este patrón, un atacante podría usarlo para acceder durante varios años, mientras el usuario se siente seguro porque cambia regularmente su contraseña.

¿Cuál es el nuevo consejo?

Para ayudar a alentar a los usuarios a evitar las contraseñas formuladas, el consejo ahora es restablecer las contraseñas solo cuando exista una sospecha razonable de que han sido comprometidas. Al no obligar a los usuarios a recordar regularmente una nueva contraseña, es más probable que elijan una contraseña segura en primer lugar.

Junto con esto, hay una serie de otras recomendaciones destinadas a fomentar la creación de contraseñas más seguras. Estos incluyen asegurarse de que todas las contraseñas tengan al menos ocho caracteres como mínimo absoluto y que el número máximo de caracteres sea de al menos 64 caracteres. También recomendó que las empresas comiencen a alejarse de las reglas de complejidad hacia el uso de listas de bloqueo utilizando diccionarios de contraseñas débiles como "¡ChangeMe!" y “Contraseña1” que cumplen con muchos requisitos de complejidad.

La comunidad de ciberseguridad está de acuerdo casi unánimemente en que las contraseñas no deben caducar automáticamente.

Nota: Desafortunadamente, en algunos escenarios, aún puede ser necesario hacerlo, ya que algunos gobiernos aún tienen que cambiar las leyes que exigen el vencimiento de la contraseña para sistemas confidenciales o clasificados.