Uno de los consejos comunes de seguridad de la cuenta es que los usuarios deben cambiar sus contraseñas con regularidad. El razonamiento detrás de este enfoque es minimizar el período de tiempo durante el cual una contraseña es válida, en caso de que alguna vez se vea comprometida. Toda esta estrategia se basa en el asesoramiento histórico de los principales grupos de ciberseguridad, como el NIST estadounidense o el Instituto Nacional de Estándares y Tecnología.
Durante décadas, los gobiernos y las empresas siguieron este consejo y obligaron a sus usuarios a restablecer las contraseñas con regularidad, generalmente cada 90 días. Sin embargo, con el tiempo, la investigación mostró que este enfoque no estaba funcionando como se esperaba y en 2017 NIST junto con el Reino Unido NCSC, o el Centro Nacional de Seguridad Cibernética, cambiaron sus consejos para requerir cambios de contraseña solo cuando existe una sospecha razonable de compromiso.
¿Por qué se cambió el consejo?
El consejo de cambiar las contraseñas con regularidad se implementó originalmente para ayudar a aumentar la seguridad. Desde una perspectiva puramente lógica, el consejo de actualizar las contraseñas con regularidad tiene sentido. Sin embargo, la experiencia del mundo real es ligeramente diferente. La investigación mostró que obligar a los usuarios a cambiar regularmente sus contraseñas los hacía significativamente más propensos a comenzar a usar una contraseña similar que simplemente podrían incrementar. Por ejemplo, en lugar de elegir contraseñas como “9L = Xk & 2>”, los usuarios utilizarían contraseñas como “Spring2019!”.
Resulta que, cuando se ven obligados a crear y recordar varias contraseñas y luego cambiarlas con regularidad, las personas usan constantemente contraseñas fáciles de recordar que son más inseguras. El problema con las contraseñas incrementales como "Spring2019!" es que se adivinan fácilmente y, a continuación, también facilitan la predicción de cambios futuros. Combinado, esto significa que forzar el restablecimiento de la contraseña empuja a los usuarios a elegir más fácil de recordar y por lo tanto, contraseñas más débiles, que normalmente socavan activamente el beneficio previsto de reducir el futuro riesgo.
Por ejemplo, en el peor de los casos, un pirata informático podría comprometer la contraseña "Spring2019!" a los pocos meses de su vigencia. En este punto, pueden probar variantes con "Otoño" en lugar de "Primavera" y es probable que obtengan acceso. Si la empresa detecta esta infracción de seguridad y luego obliga a los usuarios a cambiar sus contraseñas, es justo es probable que el usuario afectado simplemente cambie su contraseña a "Winter2019!" y piensa que son seguro. El pirata informático, conociendo el patrón, puede intentarlo si puede obtener acceso nuevamente. Dependiendo de cuánto tiempo un usuario se ciñe a este patrón, un atacante podría usarlo para acceder durante varios años, todo mientras el usuario se siente seguro porque cambia regularmente su contraseña.
¿Cuál es el nuevo consejo?
Para ayudar a alentar a los usuarios a evitar las contraseñas formuladas, ahora se recomienda restablecer las contraseñas solo cuando exista una sospecha razonable de que se han visto comprometidas. Al no obligar a los usuarios a recordar periódicamente una nueva contraseña, es más probable que elijan una contraseña segura en primer lugar.
Junto con esto, hay una serie de otras recomendaciones destinadas a fomentar la creación de contraseñas más seguras. Estos incluyen asegurarse de que todas las contraseñas tengan al menos ocho caracteres como mínimo absoluto y que el número máximo de caracteres sea de al menos 64 caracteres. También recomendó que las empresas comiencen a alejarse de las reglas de complejidad hacia el uso de listas de bloqueo. usando diccionarios de contraseñas débiles como "ChangeMe!" y "Password1" que cumplen con muchas complejidades requisitos.
La comunidad de ciberseguridad está de acuerdo casi unánimemente en que las contraseñas no deben caducar automáticamente.
Nota: Desafortunadamente, en algunos escenarios, aún puede ser necesario hacerlo, ya que algunos gobiernos aún tienen que cambiar las leyes que exigen el vencimiento de las contraseñas para sistemas confidenciales o clasificados.