Bruce Schneier iniciaba así un artículo publicado en Dark Reading el 10 de noviembre de 2010:
"¿Cada cuanto tiempo se debe de cambiar la contraseña? Me han realizado esta pregunta en numerosas ocasiones, generalmente por personas que encuentran incómodidad en las políticas de caducidad de las contraseñas de sus empresas o entidades financieras - gente que, después de haber conseguido memorizar una contraseña, son requeridos para cambiarla por una nueva."
Seguro que a cualquier Administrador de Sistemas o Responsable de Seguridad le han hecho la misma pregunta infinidad de veces. Y, probablemente, habremos dado la misma respuesta que el experto en seguridad: "The answer depends on what the password is used for." (Bruce Schneier, "When to Change Passwords", 10-11-2010).
En el artículo ya nos avisa que lo peor de ir cambiando las contraseñas es la dificultad de recordarlas. Si se fuerza a los usuarios a cambiar la contraseña con regularidad, probablemente elegirán contraseñas más fáciles de recordar (¡y de adivinar!) que si tienen una contraseña que puedan utilizar durante varios años.
A priori, parece una buena medida de seguridad implantar un sistema de contraseñas con "fecha de caducidad". En caso de robo o descubrimiento de la contraseña, su uso (o mal uso) queda limitado al periodo de tiempo hasta la siguiente renovación. No obstante, en el contexto actual, no parece ser éste un argumento válido. Un atacante que posea la contraseña de acceso a nuestra cuenta bancaria on-line, puede acceder y transferir nuestro dinero a otras cuentas al instante; de poco sirve, en este caso, que vayamos cambiando la contraseña con cierta frecuencia. Lo que hay que hacer es cambiarla de inmediato ante la menor sospecha de fraude.
Algo parecido sucede si alguien obtiene las credenciales de acceso a nuestro puesto de trabajo. Puede acceder de inmediato, instalar algún tipo de malware o incluso crear una cuenta propia para posteriores accesos.
Más que preocuparse por cada cuánto tiempo hay que cambiar las contraseñas, hay que preocuparse de crear buenas contraseñas y tenerlas a buen recaudo. Eso sí, cambiándolas de inmediato al menor síntoma de que alguien las haya podido obtener.
No hay comentarios:
Publicar un comentario