Microsoft recientemente reveló una nueva actualización de políticas que ha tomado a muchos usuarios por sorpresa: Han decidido acabar con la vieja tradición de cambiar las contraseñas de forma regular y obligatoria. En algún momento durante el mes de mayo de 2019, Microsoft reveló que está eliminando la política de contraseñas que caducan en su configuración de seguridad básica para Windows 10 v1903 y Windows Server v1903..
La política anterior establecía que toda contraseña utilizada para acceder a las cuentas de los usuarios debía cambiarse cada 42 días; un concepto con el que la mayoría de la gente está increíblemente familiarizada; sin embargo, debido a la creciente preocupación de los expertos en seguridad, junto con los cambios de política del Instituto Nacional de Normas y Tecnología de los Estados Unidos, Microsoft ha decidido cambiar sus prácticas para ajustarse mejor a las normas nacionales.
Cabe señalar que Microsoft no está cambiando sus políticas con respecto a la longitud, complejidad o malas contraseñas, sino que está eliminando las actualizaciones de las contraseñas programadas regularmente.
¿Qué causó el cambio de opinión de Microsoft?
Curiosamente, resulta que el cambio regular de las contraseñas de acceso ha tenido el efecto contrario a lo que se pretendía originalmente. En lugar de refrescar las contraseñas para que no se puedan utilizar las potencialmente robadas, paradójicamente ha tenido el efecto contrario y ha hecho que la seguridad de las contraseñas sea significativamente más débil.
Hay tres razones principales por las que las actualizaciones obligatorias de las contraseñas a intervalos regulares en realidad perjudican la seguridad del usuario.
Obligar a los usuarios a actualizar constantemente las contraseñas da como resultado contraseñas más débiles y menos sofisticadas.
No debería sorprender tanto que exigir a los usuarios que actualicen o cambien constantemente sus contraseñas vaya a resultar en contraseñas menos sofisticadas. Cuando las empresas exigen cambios rutinarios de contraseña, lo que suele ocurrir es que los usuarios eligen algo mundano o sencillo de recordar.
Como explica Aaron Margosis, un consultor de seguridad de Microsoft,
«Cuando los humanos se ven obligados a cambiar sus contraseñas, con demasiada frecuencia hacen una pequeña y predecible alteración de sus contraseñas existentes, y/o olvidan sus nuevas contraseñas. Cuando las contraseñas o sus correspondientes hashes son robadas, puede ser difícil, en el mejor de los casos, detectar o restringir su uso no autorizado».
Además, se ha demostrado que cuando los usuarios se ven obligados a inventar regularmente nuevas contraseñas, crean sistemáticamente otras que son cadenas numéricas aumentadas de contraseñas anteriores, o simplemente reciclan la misma contraseña simple en todos los lugares a los que van; de cualquier manera, estas prácticas no benefician en nada a la seguridad.
Las actualizaciones arbitrarias de las contraseñas en ciertos intervalos de tiempo no tienen ningún beneficio significativo para la seguridad.
¿Cuál es la lógica detrás de cambiar regularmente una contraseña en primer lugar? El concepto, al menos en teoría, es que si un individuo logra poner sus manos en su contraseña, la cambiará eventualmente, y, dicho individuo ya no tendrá acceso a sus datos.
El intervalo mínimo establecido por Microsoft es de 42 días. Son casi seis semanas en las que alguien podría tener su contraseña. No tiene mucho sentido, ¿verdad? La verdad es que si alguien logra acceder a una contraseña cifrada, no tardará de cinco a seis semanas en utilizar esa información, sino de meras horas a un día. Una práctica mucho mejor es asegurarse de que los hackers no puedan obtener su información desde el principio. Es un cibertriaje para cuando el foco debe ser la prevención.
Margosis observa,
«Si se da por hecho que una contraseña es probable que sea robada, ¿cuántos días son aceptables para que el ladrón pueda seguir usando esa contraseña robada? El valor por defecto de Windows es de 42 días. ¿No parece un tiempo ridículamente largo?»
Las empresas a menudo se centran en el cumplimiento de las directrices de auditoría, no en la seguridad real.
Extrañamente, la última razón detrás del cambio fue el hecho de que muchas empresas estaban poniendo el cumplimiento, por encima de la seguridad. Varias empresas se adhieren a las directrices de seguridad de Microsoft; además, a menudo hay empresas de terceros que realizan auditorías externas para asegurarse de que cualquier empresa que utilice los servicios de Microsoft esté actualizada y cumpla con las políticas establecidas. Como tal, se convirtió en una práctica común adherirse a las Directrices de Seguridad de Microsoft de la forma más estricta posible, sin considerar realmente cómo afectaba a la seguridad.
La seguridad, la protección y la privacidad son un paisaje en constante evolución dentro del mundo online. A medida que progresamos y entendemos la ciencia detrás de lo que funciona y lo que no, esperamos muchos más cambios como este en el futuro, quién sabe, un día quizás eliminemos todas las contraseñas. Mientras tanto, la autenticación de contraseñas de dos factores es una gran manera de mejorar la seguridad, junto con estos otros consejos.
Más historias del soporte técnico
