Una de las ideas sobre seguridad en la red más implantada es que cuanto más a menudo cambiemos nuestras contraseñas mejor. Pero Lorrie Cranor, Jefa Tecnológica de la Federal Trade Commission (FTC) y profesora de Ciencias de la computación de la Universidad Carnegie Mellon en Pittsburgh, Pensilvania, asegura que esto no es así.
Y así lo ha expresado en el blog de la FTC, donde ha hecho referencia a nuevas investigaciones llevadas acabo por la UNC, y que concluyen que cuando se le fuerza a las personas a cambiar de contraseña cada poco tiempo acaban tendiendo a poner poco empeño en buscar claves efectivas, lo que a la larga es un riesgo para la seguridad de cualquier empresa.
La tendencia a las 'transformaciones'
Según este estudio, al verse obligados a cambiar cada poco la gente "tiende a crear contraseñas que siguen patrones predecibles llamados 'transformaciones', en los que se utilizan números ascendentes, se cambian letras por símbolos que se les parezcan o se añaden, eliminan o se le cambia el orden a números o caracteres especiales."
Vamos, que más vale encontrar una contraseña robusta y mantenerla un buen tiempo que andar cambiando cada dos por tres y acabar con 12345, pa$$w0rds, contraseñas123, contraseñas!!! o 123contraseñas. Que de paso sea dicho, se parecen mucho a algunas de las integrantes de la lista de peores contraseñas del 2015 publicadas por SplashData en enero.
A esto hay que añadirle que el estudio demuestra que estos cambios apenas marcan la diferencia a la hora de proteger contra delincuentes que tienen acceso a grandes archivos de contraseñas con los que ayudarse a la hora de lanzar ataques offline. Por lo tanto, el beneficio no parece suficiente para compensar la molestia que supone tener que buscar contraseñas impredecibles y memorizarlas.
¿Por qué se sigue haciendo?
¿Pero si está demostrado científicamente que esto es así, por qué hay tantas empresas que siguen haciéndolo? ´ aclara en su post que esto es así sobre todo por dos razones. La primera es que los profesionales del IT tienen vidas, por lo que no tienen tiempo a estar leyendo todos y cada uno de los artículos académicos que se publican.
La otra razón tiene que ver con la percepción. Muchos profesionales le han comentado a la Jefa Tecnológica de la FTC que cambiar esta práctica puede hacer que a la gente le parezca que se está cuidando menos la seguridad, y eliminar este requerimiento les obligaría a dar muchas explicaciones a los menos dados a la materia.
Pero Cranor no quiere dar a entender que deberíamos dejar de cambiar de contraseñas, y aconseja hacerlo cada vez que pienses que te la pueden haber robado, si tienes tus cuentas tienen la misma o parecidas, si compartes una con algún amigo, si crees que puedes haberla introducido en una web de phising o simplemente si crees que tu contraseña actual es débil.
A nivel empresarial también hay dos consejos. Por una parte que si se tiene una buena contraseña se pueden hacer ciclos de cambio de entre seis meses y un año en vez de mensuales, lo que seguro que es más cómodo de los usuarios, o que simplemente se utilicen administradores de contraseñas como pueden ser LastPass, 1Password o DashLane.
Vía | FTC
Imágenes | Giphy y YouTube
En Genbeta | ¿Cuánto tiempo lleva siendo 123456 la peor contraseña posible y por qué nunca lograremos eliminarla?
Ver 7 comentarios
7 comentarios
patriot
Buen artículo, me resulta muy interesante para aplicarlo.
Solo una cosa, ¿Porqué no añaden el botón de G+ para compartir el artículo? se agradecería mucho.
juanmcm
Bueno, no creo que sea lo mismo 'cambiar periódicamente la contraseña' que 'cambiarla con lo primero que se nos ocurra' pues siendo así la comparación carece de toda lógica.
Yo no soy de cambiarlas mucho pero en servicios como Google o Outlook o también Twitter entre muchos otros tengo verificación en dos pasos y, en cierto modo ayuda bastante si tenemos en cuenta que cambiar la contraseña no es algo que se haga con la frecuencia deseada y, cuando se hace, a menudo es con una de las que está en la lista de peores contraseñas.
Yo tenía un método de introducir contraseñas más bien largas, con cuatro (o más) palabras de aquello que tengo delante, lo que veo por la ventana y lo que escucho en la TV y/o radio.
Es un engorro meter todo eso cada vez, pero oye la seguridad de meter datos que nada tienen que ver con fechas, datos personales ni nada que nos defina pues igual cuesta más adivinar.
melibeotwin
Lo mejor es usar una aplicación que gestione las contraseñas.
1Password sería una buena opción.
r a g n o r
En serio se ha tenido que hacer un estudio para esto, y esto sorprende a alguien?
Por otro lado, las razones son lamentables. La primera es ridícula: todo el mundo tiene sus vidas, y esa no es excusa para dejar de hacer tu trabajo. No me jodas.
La segunda también absurda y poco realista: creo que la mayoría de los que sufrimos el cambio constante de contraseña estaríamos más que contentos.