Muchas de las prácticas de seguridad que antes se consideraban como buenas, han empezado a ser desmitificadas con el paso de los años. No hace mucho, el principal promotor de la idea de que cambiar constantemente de contraseña y usar caracteres especiales en ellas aumentaba su seguridad, cambió completamente de bando y calificó esas prácticas de inutiles.
Y ahora es Microsoft quien toma una posición similar con respecto a las contraseñas que expiran. En su más reciente borrador sobre las bases de seguridad para la versión 1903 de Windows 10, han informado de su decisión de abandonar las políticas de vencimiento de las contraseñas y explican muy bien las razones del por qué:
No hay duda de que el estado de la seguridad de las contraseñas es problemático y lo ha sido durante mucho tiempo. Cuando las personas eligen sus propias contraseñas, con demasiada frecuencia son fáciles de adivinar o predecir. Cuando las personas son forzadas a crear contraseñas que son difíciles de recordar, con demasiada frecuencia las escriben donde otros puedan verlas, y cuando se ven obligados a cambiar sus contraseñas, con demasiada frecuencia hacen una pequeña y predecible alteración de sus contraseñas existentes, y/o olvidan sus nuevas contraseñas.
También citan investigaciones científicas recientes que cuestionan el valor de varias prácticas antiguas de seguridad que aún se mantienen, justo como las políticas de expiración, es decir, la idea de que para mantener un entorno más seguro, se debe cambiar de contraseña cada cierto tiempo fijo, y el sistema debe reforzar esas políticas obligando al usuario a cambiarlas haciendo que expiren.
Ya existen mejores alternativas
Microsoft cree que el vencimiento de las contraseñas es una práctica de mitigación obsoleta y de muy poco valor. Y de hecho, piensan que además de esto, que las contraseñas expiren introduce sus propios problemas, y que la gente adquiere esos problema a cambio de ningún beneficio.
El vencimiento periódico de las contraseñas es una defensa _solo_ en contra de la probabilidad de que una contraseña (o hash) sea robada durante su intervalo de validez y sea usada por una entidad no autorizada. Si una contraseña nunca es robada, entonces no hay necesidad de que expire. Y, si tienes evidencia de que la contraseña ha sido robada, presumiblemente actuarías de inmediato en lugar de esperar que el vencimiento arregle el problema.
Además de esto, apuntan que si tus usuarios son del tipo que están dispuestos a responder encuestas en la calle en las que cambian sus contraseñas por una golosina, no hay política de expiración que te salve.
En lugar de estas prácticas, existen mejores alternativas, como la aplicación de listas de contraseñas prohibidas, es decir, bloquear la utilización de contraseñas que suelen ser excepcionalmente inseguras, o que forman parte de grandes bases de datos de brechas de seguridad, y que cuando el usuario tiene que elegir una propia, simplemente le son restringidas.
Además de esto, está la autenticación multifactor, y tanto esta como la anterior forman parte de técnicas de seguridad que se pueden usar en la estrategia global de una empresa o por los mismos usuarios a la hora de proteger sus datos, y que son más efectivas combinadas.
Ver 3 comentarios