¿Los cambios frecuentes de contraseña son realmente buenos para su seguridad?

Anuncio

Con qué frecuencia cambia tu contraseña Cómo cambiar su contraseña en cualquier computadora de escritorio o dispositivo móvilSu contraseña es lo único que se interpone entre un extraño y sus datos más privados. ¿Cuándo fue la última vez que actualizó la contraseña de su dispositivo? Te mostramos cómo cambiarlo ahora mismo. Lee mas ? Apostamos a que algunas de sus credenciales tienen más de una década.

De hecho, la mayoría de nosotros solo cambiamos nuestras contraseñas cuando una situación nos obliga. Por lo general, es cuando no puedes recordarlo, o una aplicación o tu empresa te obligan a crear una nueva cada pocos meses.

Entonces, ¿qué enfoque es el correcto? ¿Debería dejar su contraseña intacta durante años, o debería cambiarla tan a menudo como las estaciones? Estos son los pros y los contras de cambiar su contraseña con demasiada frecuencia.

Hace que su cuenta (un poco) sea más segura

La sabiduría generalmente recibida es que cambiar su contraseña con frecuencia hace que su cuenta sea más segura

¿Es segura su cuenta de correo de Yahoo? 10 maneras de mantenerse seguroSi es usuario de Yahoo, debe asegurarse de que su cuenta esté segura. Aquí hay 10 elementos para verificar para asegurarse de que la seguridad de su cuenta esté en orden. Lee mas .

El argumento sugiere que si eres el víctima involuntaria de una fuga Verifique ahora y vea si alguna vez se han filtrado sus contraseñasEsta ingeniosa herramienta le permite verificar cualquier contraseña para ver si alguna vez ha sido parte de una fuga de datos. Lee mas , cambiar su contraseña regularmente puede negar rápidamente los detalles que un posible hacker tiene en el archivo.

Del mismo modo, si alguien obtiene acceso a su contraseña sin su conocimiento, evita que la persona lo espíe durante un período prolongado. Es por eso que los gerentes de TI de todo el país están tan obsesionados con el reinicio forzado forzado cada dos semanas.

¿Es válido el argumento? Sí, pero no es tan claro como cabría esperar. Incluso suponiendo que sus nuevas contraseñas sean tan seguras como las anteriores (más sobre esto en breve), la práctica tiene un beneficio mínimo.

en un Papel de la Universidad de Carleton, los investigadores explicaron que los atacantes que tienen acceso a un archivo de contraseña hash pueden realizar ataques sin conexión. Por lo tanto, pueden probar un gran número de contraseñas en poco tiempo. Las contraseñas débiles y de mediana resistencia están en riesgo.

El documento continúa para demostrar matemáticamente que incluso los cambios de contraseña fuertes y frecuentes solo obstaculizaron los ataques en una cantidad insignificante. Es casi seguro que el beneficio no vale las molestias que trae a los usuarios.

En cambio, el documento recomienda que los administradores del sistema utilicen funciones hash lentas como bcrypt. Los usuarios no tendrían inconvenientes, y el proceso hace que sea más difícil para los atacantes adivinar una gran cantidad de contraseñas rápidamente.

Es probable que su nueva contraseña sea insegura

Estoy seguro de que no necesita que le digamos Como crear una contraseña segura, pero siempre vale la pena repetir la información:

• Su contraseña debe usar una combinación de letras y números.
• Debería usar algunas letras mayúsculas y algunas minúsculas.
• Idealmente, debería contener caracteres especiales.
• Debe tener más de 12 caracteres de longitud.

Esos cuatro puntos son más fáciles de decir que de hacer. Crear contraseñas que cumplan todos los requisitos, y luego recordarlos, requiere mucha energía mental.

Entonces, ¿qué sucede cuando las personas cambian sus credenciales con demasiada frecuencia? En resumen, se vuelven perezosos.

Me quedé sin ideas de contraseñas, así que tuve que cambiar de trabajo.

- Tetona oxidada (@RaylaRimpson) 30 de enero de 2018

De nuevo, es un fenómeno científicamente probado. En 2010, los investigadores de la Universidad de Carolina del Norte publicaron un artículo titulado "La seguridad de la caducidad de la contraseña moderna: un marco algorítmico y análisis empírico. " En él, estudiaron los historiales de contraseñas de cuentas difuntas en la universidad.

El estudio analizó más de 10,000 cuentas antiguas y 51,141 contraseñas. Los investigadores realizaron un ataque hash fuera de línea y finalmente descifraron el 60 por ciento de las credenciales. Del 60 por ciento, 7.752 contraseñas no fueron la contraseña final utilizada en la cuenta.

Luego usaron ese conjunto de datos para ver si podían extrapolar otras contraseñas conectadas a la cuenta. Los resultados fueron asombrosos. En el 17 por ciento de los casos, la siguiente contraseña utilizada en la cuenta podría adivinarse en menos de cinco segundos.

¿Pero por qué? El estudio concluyó que las personas tendían a hacer modificaciones muy pequeñas al cambiar una contraseña con frecuencia. Por ejemplo, Salchicha123 podría convertirse $ ausage123, holacheese! se convertiría holacheese !!, y así.

¿Cuándo debe cambiar su contraseña?

Al principio, bromeé diciendo que probablemente tengas algunas contraseñas que se acercan a su décimo cumpleaños. ¿Pero es una broma?

La evidencia que hemos visto hasta ahora parece sugerir que las contraseñas antiguas pueden ser realmente buenas. ¿Cuál es la verdad? Solo necesitas un poco de sentido común.

Por supuesto, si sospechas alguien está accediendo a tu cuenta Cómo verificar si alguien más está accediendo a su cuenta de FacebookEs siniestro y preocupante si alguien tiene acceso a su cuenta de Facebook sin su conocimiento. Aquí se explica cómo saber si ha sido violado. Lee mas sin su autorización, debe cambiar su contraseña. Si cree que alguien estaba mirando cuando ingresaba sus credenciales bancarias en línea, debe cambiar su contraseña. Si tuvo que "prestar" su contraseña a alguien, debe cambiarla.

Y si crees que te has convertido accidentalmente en el víctima de una estafa de phishing No seas víctima de estos ataques de phishing comunes Lee mas , debes cambiar tu contraseña.

En todos los casos, debe asegurarse de que su nueva contraseña no se parezca a la anterior. No uses la misma palabra central. No pongas los mismos caracteres especiales en las mismas posiciones. Y no intente algo como escribir su contraseña anterior al revés.

Y recuerde, también debe cambiar su contraseña en cualquier otra cuenta con credenciales similares. Por ejemplo, si su contraseña de Facebook es flowerpot1 y su contraseña de Twitter es 1flowerpot, debe cambiar ambas.

Si no está seguro, solo siga las cuatro pautas fundamentales que discutimos anteriormente en el artículo cuando cree una nueva contraseña.

¿Qué pasa con los restablecimientos de contraseña forzada?

Pero, ¿qué pasa con los restablecimientos de contraseña forzados? ¿Es una buena idea que una aplicación o su empleador le impongan una nueva contraseña? Probablemente no.

En 2009, El Instituto Nacional de Estándares y Tecnología. dijo que los cambios regulares de contraseña eran "beneficiosos para reducir el impacto de algunos compromisos de contraseña" pero fueron "ineficaces para los demás". Y, por supuesto, los usuarios se vieron frustrados con frecuencia por los forzados cambio. Las empresas deben llegar a un compromiso entre seguridad y usabilidad.

La línea de fondo

Los argumentos pueden parecer complejos, pero son fáciles de resumir.

• Los cambios frecuentes de contraseña iniciados por el usuario pueden hacer que los usuarios sean ligeramente más seguros, siempre que la nueva contraseña sea muy robusta.
• Los cambios de contraseña frecuentes forzados a menudo tienen un efecto negativo, y los usuarios eligen credenciales menos seguras.

Ahora queremos escuchar tu opinión sobre el debate. ¿Confía en su capacidad para elegir una contraseña segura de forma regular? ¿O está contento de usar una contraseña de una década en todas sus cuentas?

Recuerde, si crea con frecuencia nuevas contraseñas complicadas, utiliza una aplicación de administrador de contraseñas como LastPass. No necesitará recuperar las contraseñas usted mismo.