Los problemas con la obligación de cambio de contraseña de manera regular

iNUBO

Por qué el NCSC (Centro nacional de ciber seguridad del Reino Unido) ha decidido desaconsejar esta directriz de seguridad establecida desde hace mucho tiempo.

Noticia original en https://www.ncsc.gov.uk

La caducidad regular de la contraseña es un requisito común en muchas políticas de seguridad. Sin embargo, en la Guía de contraseñas publicada en 2015, lo desaconsejamos explícitamente. Este artículo explica por qué hicimos esta (para muchos) recomendación inesperada, y por qué creemos que es el camino correcto a seguir.

Consideremos cómo podemos limitar el daño que proviene de un atacante que conoce la contraseña de un usuario. La respuesta obvia es hacer que la contraseña comprometida sea inútil forzando al usuario legítimo a reemplazarla por una nueva que el atacante no conoce. Este consejo parece bastante sencillo.

El problema es que esto no tiene en cuenta el inconveniente para los usuarios - los "costes de usabilidad" - de obligar a los usuarios a cambiar con frecuencia sus contraseñas. La mayoría de las políticas de contraseña nos obligan a usar contraseñas que nos resulta difícil recordar. Nuestras contraseñas tienen que ser lo más largas posible y lo más aleatorias posible. Y mientras que podemos manejar esto para un puñado de contraseñas, no podemos hacer esto para las decenas de contraseñas que ahora usamos en nuestras vidas online.

Para empeorar las cosas, la mayoría de las políticas de contraseña insisten en que tenemos que seguir cambiando. Y cuando uno se ve obligado a cambiar, lo más probable es que la nueva contraseña sea similar a la antigua.

Los atacantes pueden aprovechar esta debilidad.

La nueva contraseña puede haber sido utilizada en otro lugar, y los atacantes pueden explotar esto también. La nueva contraseña también es más probable que se anote, lo que representa otra vulnerabilidad. Las nuevas contraseñas también tienen más probabilidades de ser olvidadas, y esto conlleva los costos de productividad de los usuarios que ven bloqueadas sus cuentas, y los servicios tienen que restablecer contraseñas.

Es uno de esos escenarios de seguridad contra-intuitivos, cuanto más a menudo los usuarios se ven obligados a cambiar contraseñas, mayor será la vulnerabilidad general al ataque. Lo que parecía ser un consejo perfectamente razonable y establecido desde hace mucho tiempo no se resiste a un riguroso análisis de todo el sistema.

El NCSC ahora recomienda que las organizaciones no obliguen a la caducidad de la contraseña de manera regular. Creemos que esto reduce las vulnerabilidades asociadas con las contraseñas que expiran regularmente (descritas anteriormente) al tiempo que se hace poco para aumentar el riesgo de explotación de contraseñas a largo plazo. Los atacantes a menudo pueden resolver la nueva contraseña, si tienen la antigua. Y los usuarios, forzados a cambiar otra contraseña, elegirán a menudo un 'más débil' que no olvidarán.

En el NCSC, queremos que los administradores piensen en alternativas más eficaces para la defensa de los sistemas que podrían implementar para detectar y prevenir el uso no autorizado de la cuenta. Por ejemplo, recomendamos el uso de herramientas de supervisión del sistema que presentan a los usuarios con información sobre el último intento de inicio de sesión, para que puedan ver si son responsables de los intentos fallidos de inicio de sesión. Si no lo son, esto puede ser una señal de que alguien ha intentado acceder a su cuenta, y los usuarios deben ser capaces de informar fácilmente esto para la investigación. Iniciativas como esta son mucho más propensas a ayudar a mantener los sistemas seguros, y mucho más manejables para el usuario.