¿Son los cambios de contraseña frecuentes realmente buenos para su seguridad?
¿Con qué frecuencia cambia su contraseña? ¿Cómo cambiar su contraseña en cualquier computadora de escritorio o dispositivo móvil? ¿Cómo cambiar su contraseña en cualquier computadora de escritorio o dispositivo móvil? Su contraseña es lo único que se encuentra entre un extraño y sus datos más privados. ¿Cuándo fue la última vez que actualizó la contraseña de su dispositivo? Te mostramos cómo cambiarlo ahora mismo. Lee mas ? Apostamos a que algunas de sus credenciales tienen más de una década..
De hecho, la mayoría de nosotros solo cambiamos nuestras contraseñas cuando una situación nos obliga a hacerlo. Por lo general, es cuando no lo recuerdas, o una aplicación o tu empresa te obliga a crear una nueva cada pocos meses..
Entonces, ¿cuál es el enfoque correcto? ¿Debería dejar su contraseña intacta durante años o cambiarla con la frecuencia de las estaciones? Aquí están los pros y los contras de cambiar su contraseña con demasiada frecuencia..
Hace que su cuenta (un poco minúscula) sea más segura
El conocimiento general que se recibe es que cambiar su contraseña con frecuencia hace que su cuenta sea más segura. ¿Es su cuenta de correo de Yahoo segura? 10 formas de mantenerse seguro ¿Es segura su cuenta de correo de Yahoo? 10 formas de mantenerse seguro Si es usuario de Yahoo, debe asegurarse de que su cuenta esté segura. Aquí hay 10 elementos para verificar que la seguridad de su cuenta esté en orden. Lee mas .
El argumento sugiere que si usted es la víctima involuntaria de una fuga. Compruebe ahora y vea si sus contraseñas se han filtrado. Compruebe ahora y vea si sus contraseñas se han filtrado. Esta herramienta ingeniosa le permite verificar cualquier contraseña para ver si alguna vez ha sido parte de una fuga de datos. Lea más, cambiar su contraseña regularmente puede negar rápidamente los detalles que un posible pirata informático tiene archivado.
De manera similar, si alguien obtiene acceso a su contraseña sin su conocimiento, evita que la persona lo espíe durante un período prolongado. Es por eso que los gerentes de TI de todo el país están tan obsesionados con imponer reinicios forzados cada dos semanas..
¿Es válido el argumento? Sí, pero no es tan claro como cabría esperar. Incluso en el supuesto de que sus nuevas contraseñas sean tan fuertes como las anteriores (más sobre esto en breve), la práctica tiene un beneficio mínimo.
En un artículo de la Universidad de Carleton, los investigadores explicaron que los atacantes que tienen acceso a un archivo de contraseña con hash pueden realizar ataques sin conexión. Por lo tanto, pueden probar un gran número de contraseñas en un corto período de tiempo. Las contraseñas de fuerza débil y media están en riesgo.
El documento continúa demostrando matemáticamente que incluso los frecuentes cambios de contraseña fuertes solo obstaculizaron los ataques en una cantidad insignificante. El beneficio es casi seguro que no vale la pena el inconveniente que aporta a los usuarios..
En su lugar, el documento recomienda que los administradores del sistema utilicen funciones hash lentas como bcrypt. Los usuarios no tendrían inconvenientes, y el proceso dificulta que los atacantes adivinen un gran número de contraseñas rápidamente.
Es probable que su nueva contraseña sea insegura
Estoy seguro de que no necesita que le digamos cómo crear una contraseña segura, pero siempre vale la pena repetir la información:
- Tu contraseña debe usar una mezcla de letras y números.
- Debe usar letras mayúsculas y minúsculas..
- Idealmente, debería contener caracteres especiales..
- Debe tener más de 12 caracteres.
Esos cuatro puntos son más fáciles de decir que de hacer. Crear contraseñas que cumplan todos los requisitos, y luego recordarlas, requiere mucha energía mental..
Entonces, ¿qué sucede cuando las personas cambian sus credenciales con demasiada frecuencia? En resumen, se vuelven perezosos..
Me quedé sin ideas de contraseña, así que tuve que cambiar de trabajo.
- Busty Rusty (@RaylaRimpson) 30 de enero de 2018
Una vez más, es un fenómeno científicamente probado. En 2010, investigadores de la Universidad de Carolina del Norte publicaron un artículo titulado “La seguridad de la caducidad de la contraseña moderna: un marco algorítmico y análisis empírico.” En ella, estudiaron los historiales de contraseñas de cuentas difuntas en la universidad..
El estudio analizó más de 10,000 cuentas antiguas y 51,141 contraseñas. Los investigadores realizaron un ataque de hash sin conexión y, en última instancia, rompieron el 60 por ciento de las credenciales. Del 60 por ciento, 7.752 contraseñas no fueron la contraseña final utilizada en la cuenta.
Luego utilizaron ese conjunto de datos para ver si podían extrapolar otras contraseñas conectadas a la cuenta. Los resultados fueron sorprendentes. En el 17 por ciento de los casos, la siguiente contraseña utilizada en la cuenta podría adivinarse en menos de cinco segundos.
¿Pero por qué? El estudio concluyó que las personas tendían a hacer pequeñas alteraciones al cambiar frecuentemente una contraseña. Por ejemplo, Salchicha123 podría convertirse $ ausage123, Hellocheese! se convertiría Hellocheese!!, y así.
¿Cuándo debe cambiar su contraseña??
Al principio, bromeé diciendo que probablemente tengas algunas contraseñas que se acercan a su décimo cumpleaños. Pero es que es una broma?
La evidencia que hemos visto hasta ahora parece sugerir que las contraseñas de larga data podrían ser algo bueno. ¿Cuál es la verdad? Solo necesitas un poco de sentido común.
Por supuesto, si sospecha que alguien está accediendo a su cuenta Cómo comprobar si otra persona está accediendo a su cuenta de Facebook Cómo verificar si otra persona está accediendo a su cuenta de Facebook Es siniestro y preocupante si alguien tiene acceso a su cuenta de Facebook sin su conocimiento . Aquí es cómo saber si has sido violado. Lea más sin su autorización, debe cambiar su contraseña. Si cree que alguien estaba mirando cuando ingresaba sus credenciales de banca en línea, debe cambiar su contraseña. Si tuvieras que “préstamo” Tu contraseña a alguien, deberías cambiarla..
Y si cree que accidentalmente ha sido víctima de una estafa de suplantación de identidad (phishing) No sea víctima de estos ataques comunes de suplantación de identidad (phishing) No sea víctima de estos ataques de suplantación de identidad (phishing) más información, debe cambiar su contraseña.
En todos los casos, debe asegurarse de que su nueva contraseña no se parezca a la anterior. No uses la misma palabra central. No pongas los mismos caracteres especiales en las mismas posiciones. Y no intentes algo como escribir tu antigua contraseña hacia atrás.
Y recuerde, también debe cambiar su contraseña en cualquier otra cuenta con credenciales similares. Por ejemplo, si su contraseña de Facebook es flowerpot1 y su contraseña de Twitter es 1flowerpot, debe cambiar ambas.
Si no está seguro, simplemente siga las cuatro pautas fundamentales que analizamos anteriormente en el artículo cuando cree una nueva contraseña..
¿Qué pasa con los restablecimientos de contraseña forzados??
Pero ¿qué pasa con los restablecimientos forzados de contraseña? ¿Es una buena idea que una aplicación o su empleador le impongan una nueva contraseña? Probablemente no.
En 2009, el Instituto Nacional de Estándares y Tecnología dijo que los cambios regulares de contraseña eran “Beneficioso para reducir el impacto de algunos compromisos de contraseña.,” pero dónde “ineficaz para otros.” Y, por supuesto, los usuarios quedaron frecuentemente frustrados por el cambio forzado. Las empresas necesitan alcanzar un compromiso entre seguridad y usabilidad..
La línea de fondo
Los argumentos pueden sonar complejos, pero son fáciles de resumir..
- Los cambios frecuentes de contraseña iniciados por el usuario podrían hacer que los usuarios sean un poco más seguros, siempre que la nueva contraseña sea altamente robusta.
- Los cambios frecuentes de contraseña forzados a menudo tienen un efecto negativo, ya que los usuarios eligen credenciales menos seguras.
Ahora queremos escuchar sus opiniones sobre el debate. ¿Confía en su capacidad para elegir una contraseña segura de forma regular? ¿O está contento con una contraseña de una década en todas sus cuentas??
Recuerde, si crea con frecuencia nuevas contraseñas complicadas, use una aplicación de administrador de contraseñas como LastPass. No necesitarás recordar las contraseñas tú mismo..
Explorar más sobre: Seguridad en línea, Contraseña.