¿El requisito de cambiar una contraseña cada pocos meses aumenta o disminuye la seguridad?

Gracias por A2A (abril de 2017)

Hay un documento de investigación de Microsoft, posiblemente una nueva perspectiva sobre la seguridad en Internet, Microsoft Research, que analiza esto, y hasta donde recuerdo, concluyeron que obligar a las personas a cambiar las contraseñas de manera regular significaba que ya no podían recordarlas y así que los escribí en notas adhesivas o usé una fórmula simple basada en la fecha. Sin embargo, eso fue hace unos años y no recuerdo que hablara de administradores de contraseñas.

Creo que si se usa un administrador de contraseñas seguro, cambiar una contraseña cada pocos meses aumentaría la seguridad. Si el backend es pirateado (algo sobre lo que el usuario no tiene control) la contraseña comprometida del usuario solo sería válida por un corto período de tiempo, tal vez no lo suficiente como para que las contraseñas se difundan ampliamente. Sin embargo, los sitios adecuadamente protegidos usarán hashes y los usuarios bien informados usarán contraseñas aleatorias, por lo que en el pirateo de back-end típico seguirán siendo seguros. Si el proceso de inicio de sesión en sí mismo se ve comprometido (keyloggers en un extremo u otro), entonces todavía existe un riesgo, que podría reducirse minimizando el período de validez de una contraseña. Pero creo que este es un riesgo muy muy pequeño: hay otras cosas de las que preocuparse, como el robo de toda su PC en un robo.

Hay un artículo más reciente que es de algún interés: deje de perder el tiempo fortaleciendo las contraseñas incorrectas, de otro artículo de Microsoft pushOnString.pdf

Related Content

¿Existe un sistema operativo creado desde cero con la seguridad como objetivo principal?

¿Qué sucede con el antivirus cuando instalamos otro sistema operativo en nuestra computadora portátil?

¿Tiene alguna sugerencia para escribir SOP para una Maestría en Seguridad Cibernética? ¿Cómo retrato mis experiencias laborales y la experiencia de Bug Bounty?

¿Para qué no te prepara un título de CS Security en el mundo real?

¿Qué es la gestión de eventos de información de seguridad?

La rotación de contraseñas aumenta la seguridad en la práctica. La forma más común de que las contraseñas se vean comprometidas es el phishing, seguido de malware y violaciones de sitios web. La mayoría de las contraseñas robadas nunca se usan, porque los malos tienen tantas contraseñas robadas para elegir. Entonces, cuando lleguen a usar el suyo, habrá rotado a algo diferente. En su mayor parte, tampoco se molestan en tratar de “arreglar” las contraseñas que ya no funcionan, simplemente pasan a otra cuenta robada. Además, en el peor de los casos, si descubren que cambiaste de “sexybeast1” a “sexybeast2”, no estás peor que si no hubieras girado la contraseña.

Es cierto que las personas tienden a escribir contraseñas complejas en las notas de publicación, pero los ataques en persona no son una forma común de robo de contraseñas. En su mayor parte, nuestros compañeros de trabajo no son ciberdelincuentes y, de todos modos, las contraseñas bancarias se escribirían en casa.

Tenga en cuenta que agregar una autenticación de 2 factores es una medida mucho más fuerte para hacer cumplir la rotación de la contraseña.

Betty Daaf

Cambiar la contraseña con frecuencia nunca será una buena opción

Pruebe esta mejor forma de contraseña, ya no tendrá que preocuparse nunca más por la contraseña.

la idea es usar Binary en contraseña para hacerlo ultra seguro

contraseña sin contraseña binaria

contraseña con binario → passwor01100100

así que simplemente cambiamos el alfabeto y tenemos un aumento de 7 caracteres de longitud

Friki binario

Puedes aprender y practicar y aplicar, para comenzar la visita

Binary Geek (Binary to Text Quiz) – Aplicaciones de Android en Google Play

La contraseña es nuestro soldado libre que protege nuestro todo

¿Qué crees? Avísame en los comentarios

David Seidman

Cuanto más a menudo cambie su contraseña, más seguro estará. Tener la misma contraseña durante mucho tiempo es arriesgado, ya que le da tiempo a cualquier pirata informático potencial para descifrarlo. Incluso usted, usted mismo no es un objetivo, tiene un mayor riesgo de piratería masiva de datos y su información se incluye en ellos. Personalmente, cambio mis contraseñas todos los meses y nunca uso la misma contraseña para varias cuentas, especialmente para cosas como PayPal, Google, etc.

¡Espero que esto ayude!

Toby

Andrew Daviel

Como escribe el interrogador, hay pros y contras, pero depende del entorno.

Si se encuentra en un entorno empresarial e ingresa la contraseña de root mientras está en una conferencia, alguien puede seguir las teclas. Si debe compartir la contraseña con ALGUIEN, debe cambiarla todos los meses.

Si una persona del equipo de administración murmura mientras ingresa la contraseña, tal vez una vez al mes no sea suficiente.

He podido forzar la mayoría de las contraseñas de 8 caracteres en menos de 7 días usando una PC rápida sin nada más en ejecución (incluida la conexión de red). (8 fue el más reconocido por el sistema operativo, 9 y más fueron ignorados).

Los peores problemas con una nueva contraseña cada mes, es recordarla. Cuando elegí la contraseña, serían varios libros en un estante, como EMCIBMHP, HASPVM, VTAMSNA. Sabía que el administrador distribuiría la contraseña a unas 10 personas, por lo que no lo hice demasiado difícil.

Encontré una mejor práctica que mantener la contraseña de las personas, era revisar los registros todos los días y ver qué IPs se supeditaban a la raíz y preguntarle a la persona por qué. Les avisó que solo porque tienen la contraseña, alguien está mirando. Por lo general, era para matar un proceso, hasta que un DBA mató a PID 1.

oq: ¿El requisito de cambiar una contraseña cada pocos meses aumenta o disminuye la seguridad?

John Black

La práctica aumenta la seguridad, pero la longitud / patrón de la contraseña es lo que hace que la seguridad sea menor o mayor.

Editar :

La práctica aumenta la seguridad porque quien obtiene su contraseña tiene menos tiempo para actuar en consecuencia. Si no se trata de un ataque dirigido, la probabilidad de que se use una contraseña de inmediato es menor, por lo que es más probable que sea un candidato para la venta. En ese caso, una vez que se cambia la contraseña, la persona que tiene la contraseña pierde su influencia y la vuelve ineficaz. No todo el mundo compra datos de inmediato, algunos lo hacen. Existen estándares ISO que exigen que las empresas cambien su contraseña con frecuencia para hacer frente a tales ataques. Sin embargo, hay una condición en el cambio de contraseña que el sistema no le permite usar la misma contraseña nuevamente ni debería permitirle configurar ninguna o todas las últimas contraseñas. Después de todo, a veces es un juego de adivinanzas y, a veces, es solo mala suerte si la persona de TI que tiene acceso al sistema de contraseñas decide equivocarse.

No todos suscriben la noción de que hay alguna ventaja en cambiar las contraseñas cada pocos meses. De hecho, solo motiva a las personas a elegir contraseñas que sean más fáciles de recordar y, a menudo, ahí es donde se equivocan en caso de que el sitio permita las contraseñas antiguas o similares (¿y adivina qué sucede entonces?). Sin duda, uno debe cambiar las contraseñas cuando un sitio les dice que lo hagan, como Yahoo lo ha hecho dos veces en el último año.

Nada es 100% seguro, es solo cuestión de cuándo es pirateado o menos seguro. Solo podemos aumentar las posibilidades de alta seguridad. Eso es.

David Seidman

Disminuciones Consulte la última guía de NIST en contraseñas. Publicación especial del NIST 800-63B

Toby Evans

La última investigación muestra lo que he sabido todo el tiempo: forzar cambios de contraseña disminuye la seguridad. Simplemente obliga a las personas a elegir contraseñas y variantes deficientes en contraseñas deficientes, y anotarlas. Por esta razón, desactivo la caducidad de la contraseña.

Si alguien descubre su contraseña, la cambia de inmediato, no espere a que caduque. Y si nadie conoce su contraseña bien elegida, cambiarla no disminuirá el número de personas que la conocen o su capacidad de adivinarla.

Siempre he considerado esto evidente, pero muchas personas no entienden la seguridad tan bien como piensan.

Andrew Daviel

¿Es más difícil alcanzar un objetivo en movimiento o un objetivo estacionario?

Tienes tu respuesta

John Black

More Interesting

Cómo eliminar el virus Youndoo de Chrome

Cómo comenzar a estudiar el cifrado de datos

¿Cuál es la mejor manera de obtener una buena primera pasantía / trabajo con un certificado de seguridad cibernética de un colegio comunitario sin experiencia previa?

Cómo eliminar virus de mi sitio de wordpress

Soy ingeniero en CSE y trabajo en una empresa como SE, y quiero hacer leyes cibernéticas en línea (por mi propio interés). ¿Existen buenos enlaces y universidades que ofrezcan cursos en línea y, con suerte, por una duración menor?

¿Cuáles son los productos o la tecnología de seguridad del consumidor?

¿Qué debo hacer más para sobresalir en el campo de seguridad cibernética?

Cómo convertirse en un experto en piratería informática

¿Truecaller es un malware?

¿Qué otros sistemas podría desarrollar para recordar y almacenar contraseñas de forma segura?

¿Qué sucede si existe un riesgo significativo para el usuario que está descargando y probando una nueva aplicación iOS proporcionada como un archivo .IPA?

¿No podrían los sitios web aumentar exponencialmente la seguridad al limitar la cantidad de contraseñas por minuto?

Cómo hackear la clave antivirus

¿Es una carrera de seguridad cibernética buena para una persona que no es de TI?

Fui víctima del fraude cibernético que perdió 12k. ¿Con quién me comunico?