¿Cambiar de contraseña cada dos por tres? Mala idea si buscas más seguridad

¿Cambiar de contraseña cada dos por tres? Mala idea si buscas más seguridad
7 comentarios Facebook Twitter Flipboard E-mail

Una de las ideas sobre seguridad en la red más implantada es que cuanto más a menudo cambiemos nuestras contraseñas mejor. Pero Lorrie Cranor, Jefa Tecnológica de la Federal Trade Commission (FTC) y profesora de Ciencias de la computación de la Universidad Carnegie Mellon en Pittsburgh, Pensilvania, asegura que esto no es así.

Y así lo ha expresado en el blog de la FTC, donde ha hecho referencia a nuevas investigaciones llevadas acabo por la UNC, y que concluyen que cuando se le fuerza a las personas a cambiar de contraseña cada poco tiempo acaban tendiendo a poner poco empeño en buscar claves efectivas, lo que a la larga es un riesgo para la seguridad de cualquier empresa.

La tendencia a las 'transformaciones'

Según este estudio, al verse obligados a cambiar cada poco la gente "tiende a crear contraseñas que siguen patrones predecibles llamados 'transformaciones', en los que se utilizan números ascendentes, se cambian letras por símbolos que se les parezcan o se añaden, eliminan o se le cambia el orden a números o caracteres especiales."

Vamos, que más vale encontrar una contraseña robusta y mantenerla un buen tiempo que andar cambiando cada dos por tres y acabar con 12345, pa$$w0rds, contraseñas123, contraseñas!!! o 123contraseñas. Que de paso sea dicho, se parecen mucho a algunas de las integrantes de la lista de peores contraseñas del 2015 publicadas por SplashData en enero.

A esto hay que añadirle que el estudio demuestra que estos cambios apenas marcan la diferencia a la hora de proteger contra delincuentes que tienen acceso a grandes archivos de contraseñas con los que ayudarse a la hora de lanzar ataques offline. Por lo tanto, el beneficio no parece suficiente para compensar la molestia que supone tener que buscar contraseñas impredecibles y memorizarlas.

¿Por qué se sigue haciendo?

Maxresdefault

¿Pero si está demostrado científicamente que esto es así, por qué hay tantas empresas que siguen haciéndolo? ´ aclara en su post que esto es así sobre todo por dos razones. La primera es que los profesionales del IT tienen vidas, por lo que no tienen tiempo a estar leyendo todos y cada uno de los artículos académicos que se publican.

La otra razón tiene que ver con la percepción. Muchos profesionales le han comentado a la Jefa Tecnológica de la FTC que cambiar esta práctica puede hacer que a la gente le parezca que se está cuidando menos la seguridad, y eliminar este requerimiento les obligaría a dar muchas explicaciones a los menos dados a la materia.

Pero Cranor no quiere dar a entender que deberíamos dejar de cambiar de contraseñas, y aconseja hacerlo cada vez que pienses que te la pueden haber robado, si tienes tus cuentas tienen la misma o parecidas, si compartes una con algún amigo, si crees que puedes haberla introducido en una web de phising o simplemente si crees que tu contraseña actual es débil.

A nivel empresarial también hay dos consejos. Por una parte que si se tiene una buena contraseña se pueden hacer ciclos de cambio de entre seis meses y un año en vez de mensuales, lo que seguro que es más cómodo de los usuarios, o que simplemente se utilicen administradores de contraseñas como pueden ser LastPass, 1Password o DashLane.

Vía | FTC
Imágenes | Giphy y YouTube
En Genbeta | ¿Cuánto tiempo lleva siendo 123456 la peor contraseña posible y por qué nunca lograremos eliminarla?

Comentarios cerrados
Inicio