¿Qué contraseñas deben cambiarse y con qué frecuencia?

Recientemente leí un gran ensayo del muy estimado Bruce Schneier. Aquí hay un enlace: Diseño de seguridad: deje de intentar arreglar al usuario

Él hace un par de puntos convincentes, con suerte de una manera más convincente de lo que he podido hacer, ya que he luchado esencialmente esta misma batalla durante décadas:

Hacer que los usuarios cambien las contraseñas por algo complejo y fácil de recordar o que no reutilicen las contraseñas es simplemente estúpido .

Si tengo una cuenta, digamos … la oficina del asesor fiscal del condado, que uso exactamente una vez al año, cuando pago mis impuestos a la propiedad, no quiero tener que recordar qué demonios fue hace un año. o peor, ser golpeado para cambiarlo tan pronto como aparezca “porque ha pasado demasiado tiempo desde la última vez que lo usé”. Solo quiero iniciar sesión, hacer lo mío y volver a lo que estaba haciendo anteriormente.

Pero un imbécil de seguridad decidió que, porque tenía que demostrar que estaba HACIENDO algo, que tenía que haber una política de seguridad, que debía ser “fuerte” y que era necesario cambiar las contraseñas con frecuencia. Y eso es solo porque estaba personalmente asustado, ya que la vida como profesional de seguridad está llena de peligros, porque es realmente MUY difícil convencer a su gerencia de que “hizo algo” cuando lo que hizo fue evitar que las cosas sucedieran. Puedes ver las cosas de “hice algo”; no puedes ver las cosas que nunca sucedieron …

Esto es solo el comportamiento de “culpar a la víctima”, perpetuado por profesionales que intentan justificar su existencia en un mundo en el que AHORA deberíamos haber descubierto que ofrecer seguridad de alto grado fácil de usar es solo un costo de hacer negocios, y recibir un presupuesto y personal adecuados y, lo más importante, poder de entrada y de veto sobre aspectos críticos del diseño a medida que se van construyendo.

Por supuesto, eso tiene un costo, ya que la mayoría de los expertos en seguridad son piratas informáticos, perpetúan lo que han visto y en realidad no ofrecen soluciones reales y utilizables. En cambio, perpetúan mitologías rotas como “necesita mayúsculas, minúsculas, números y símbolos para ser una buena contraseña” (mito; el hecho es que cuatro palabras completamente no relacionadas que se usan como una frase hacen que su contraseña sea más de 10000x más fuerte que eso), o ideas como “necesita cambiar su contraseña cada 60 días” (mito; el hecho es que es relevante debido al diseño de mierda de la mayoría de los sistemas de contraseña y al hecho de que estadísticamente es probable que se hayan visto comprometidos en cualquier intervalo de 60 días) o otro sin sentido.

Lo que necesitamos es capacitación real, seguridad por diseño, seguridad desde cero, experiencia de usuario integrada de seguridad, y casi nadie lo está haciendo.

Datos biométricos, no confiables (ver TAPS – Etiqueta adhesiva de pantalla táctil con Touch ID en Kickstarter. Idea increíble, pero ¿qué pasa si les envío su huella digital?) Autenticación multifactor? Mejor, pero aún puede verse comprometido (este artículo Los atacantes golpean puntos débiles en la autenticación de 2 factores de Krebs tienen más de cuatro años y los problemas aún persisten).

Entonces, ¿cuál es la solución?

Si supiera eso, lo estaría HACIENDO , no escribiendo sobre eso. Joder, quién sabe, tal vez lo haga. Pero esa es una barra lateral completa.

El punto real es este: las compañías que requieren que usted tenga contraseñas construidas de cierta manera, o que las cambie con cierta frecuencia, están reparando sus propias deficiencias al imponerle requisitos onerosos a usted, su cliente. Y deberían hacer lo contrario, inclinarse hacia atrás para que la vida sea lo más fácil y fácil posible.

En cuanto a dónde pones tus prioridades en las contraseñas, hubo un artículo a principios de año, Las razones psicológicas detrás de las prácticas de contraseñas arriesgadas, que golpearon partes de eso. Ellos afirman (con lo que estoy de acuerdo) que si usted es “pirateado” es una función de su personalidad y comportamiento; cómo (que solo se aplica si cruzas el umbral “si”) es una función de cómo priorizas tu elección de contraseña.

La verdadera “solución” es algo diferente. Ni siquiera necesita saber su contraseña. Como a cualquier cosa. Es útil si te están interrogando también. Solo usa algo como 1Password o LastPass. Yo uso ambos, ambos tienen ventajas y desventajas.

Cree entradas para las cosas en las que inicie sesión a través de Internet, haga que el programa cree la contraseña por usted, y cuando necesite iniciar sesión, todo lo que tiene que hacer es recordar la contraseña maestra, y ya está. Y si usted Estás en un dispositivo iOS, puede ser un deslizamiento del pulgar, no una contraseña.

En ese momento, puede dejar de preocuparse por las contraseñas por completo. Aparte del uno.

Related Content

Cómo eliminar malware de un navegador

¿La autenticación óptica de dos factores es una buena idea?

¿Qué puede hacer si alguien ya ha pirateado su sistema y lo controla?

¿Por qué Linux y Mac OS X rara vez se infectan con virus y malware de modo que el software antivirus no se recomienda comúnmente?

¿Las compañías antivirus producen virus en la puerta trasera? Si es así, ¿no es ilegal?

Tengo la peor respuesta a esta pregunta: depende. Desafortunadamente, por mucho que deba haber una respuesta más clara, simplemente no la hay.

La frecuencia con la que cambie su contraseña realmente depende de lo que esté protegiendo y del sistema que decida usar (más sobre eso en un minuto).

Primero, es importante entender por qué cambiar las contraseñas. Las contraseñas pueden almacenarse en una variedad de lugares diferentes, algunos que puede controlar, la mayoría no. Por lo general, no sabe si su contraseña está encriptada en el servidor, no sabe si termina en los registros del servidor (he visto que esto sucede más de una vez) o si la compañía que ejecuta el servidor mantiene el acceso por sí mismos de manera que un atacante pueda obtener esas contraseñas. También es posible que una copia de seguridad que contiene la base de datos de contraseñas se vea comprometida y que un atacante obtenga esa copia de seguridad.

Cuando un actor malo (p. Ej., Un hacker) obtiene una contraseña, por lo general toma algún tiempo antes de que esté listo para usarla. Un atacante que compromete 100,000 (o más) contraseñas, generalmente no puede usarlas todas rápidamente. También es posible que un atacante tenga acceso a una base de datos de contraseñas cifradas y pueda descifrar algunas de esas contraseñas con el tiempo. Por estos motivos (y otros) cuanto más tiempo sea válida su contraseña, más probable es que los atacantes puedan acceder a las cuentas que preferiría que no tuvieran. Cambiar las contraseñas acorta el tiempo en que dicho ataque es efectivo.

La frecuencia con la que cambia una contraseña depende de dos cosas: 1) qué otras protecciones (si tiene) tiene para su cuenta y 2) qué tan importante es esa cuenta.

Como otros han mencionado, si está disponible, tener autenticación de dos factores ayuda a evitar que alguien que conoce su contraseña pueda usarla. Usar un programa como Google Authenticator o requerir códigos de mensajes de texto además de su contraseña puede dificultar que alguien que ha comprometido su contraseña pueda acceder a su cuenta. Sin embargo, esto NO es infalible. Es por eso que, incluso con dos factores, elegir buenas contraseñas y cambiarlas ocasionalmente es una buena idea.

El segundo problema es, ¿qué tan importante es la cuenta que está protegiendo?

Las cuentas de los bancos, el trabajo, el correo electrónico y quizás las redes sociales deberían cambiarse con mayor frecuencia. Es probable que sean cuentas dirigidas por delincuentes. Cuanto más a menudo los cambie, más corta será la ventana en la que se puede usar una contraseña comprometida. Si los atacantes comprometen una base de datos en diciembre e intentan usar su contraseña en julio, no obtendrán nada si cambia su contraseña cada 90 días. Pero si cambia su contraseña cada pocos años (o no cambiará), entrarán.

Entonces, ¿por qué solo cambiar los importantes con frecuencia? ¿Por qué no cambiarlos a todos? Si solo tiene unas pocas cuentas, hágalo. No hay ninguna razón técnica para no cambiar sus contraseñas menos importantes con frecuencia. Sin embargo, en mi caso (y sospecho que no estoy solo) tengo cientos de cuentas con contraseñas. Tengo cuentas de correo electrónico, cuentas de redes sociales, cuentas de compras en línea, cuentas que admiten aplicaciones móviles, cuentas de transmisión de medios, y así sucesivamente. Si cambiara todas mis contraseñas cada 60 días, sería un trabajo a tiempo completo.

Lo más probable es que termine renunciando al cambio de contraseña o establezca un período de cambio demasiado largo para cuentas confidenciales y demasiado corto para aquellas que no son tan importantes.

Entonces, con TODO eso, ¿con qué frecuencia debe cambiar sus contraseñas?

Un estándar del gobierno federal de EE. UU. Dice que las contraseñas deben cambiarse cada 60 días (controles de referencia de FedRAMP, ID de control IA-5 (g)).

Ese es probablemente un buen cronograma para sus cuentas personales muy importantes que tienen contraseñas pero no están protegidas por algún control de dos factores. Para las cuentas que le importan, pero que no son vitales, es posible que desee cambiar las contraseñas cada tres o seis meses. Para el resto de sus cuentas (las que son menos importantes y las que están protegidas con dos factores), tal vez lo mejor sea tener un cambio de contraseña annal.

Sin embargo, en última instancia, depende de usted. ¿Qué tan importantes son las cuentas que usa? ¿Cuánto trabajo estás dispuesto a hacer para protegerlos?

CR Denmon

Los que compartes

Necesita cambiar los que comparte con otras personas.

Esa es realmente la única razón decente para las organizaciones que insisten en los cambios regulares de contraseña.

Considera este escenario. Alice está trabajando desde casa pero necesita un archivo en particular. Ella llama a su colega Bob y le pide que lo obtenga. Pero necesita la contraseña de Alice para hacerlo. Ella le da su contraseña. Tres meses después, Bob deja la compañía en malos términos. Se ha revocado todo su acceso, pero aún conoce la contraseña de Alice.

Contraseñas que han sido robadas .

Cuando un sitio o servicio informa una infracción, los atacantes pueden aprender contraseñas. Los detalles varían de un caso a otro, pero cuando un sitio o servicio le dice que cambie una contraseña, hágalo.

No te preocupes por cambiar a los demás. Hay evidencia de que los cambios frecuentes de contraseña llevan a las personas a elegir contraseñas más débiles. Entonces, en general, la práctica está siendo desalentada por aquellos que han estudiado los efectos más cuidadosamente.

CR Denmon

Todas las contraseñas, con frecuencia, ya que tiene sentido. Cada cuenta debe tener una contraseña diferente y debe actualizarla cada 6 semanas más o menos. Un sistema de administración de contraseñas es una buena idea para realizar un seguimiento y garantizar que sus métodos de recuperación de contraseña sean válidos y que pueda comunicarse con ellos. Incluso debería considerar usar contraseñas aleatorias de 24 o más caracteres cuando sea posible. En un entorno de producción, depende de lo que valen sus datos. Forzar a los usuarios a cambiar sus contraseñas cada 6 semanas y no permitir que se repitan las contraseñas es un buen comienzo. Hacer cumplir la complejidad es importante y separar las cuentas de usuario de administrador incluso para usuarios de nivel administrativo es una buena práctica a seguir. Hay libros de texto completos escritos solo sobre este tema.

Kayee Tong

Ninguna.

Utilizo autenticación de dos factores con una aplicación. Si alguna vez me roban el teléfono, solo llamo a un número y lo borra automáticamente.

Por qué alguien recordaría más de una contraseña me gana.

CR Denmon

Cambie su contraseña de WIFI / PC e Internet Banking cada 3 meses

Peter Flom

More Interesting

¿No podrían los sitios web aumentar exponencialmente la seguridad al limitar la cantidad de contraseñas por minuto?

Mi cuenta de Gmail fue pirateada 3 veces. ¿Cuál podría ser la razón?

Cómo iniciar una empresa antivirus

Si se le da la oportunidad de elegir ser ingeniero de software o especialista en seguridad (pruebas de ciberseguridad / penetración) cuando se gradúe, ¿qué elegiría y por qué?

Cómo saber si mi computadora Mac ha sido pirateada

¿Qué pueden hacer los consumidores para que las cámaras web sean más seguras?

Si hay un software para hackear un CCTV?

Cómo desinstalar Norton AntiVirus

Cómo cambiar la contraseña de un usuario de terminal Telnet en Linux

¿Hay algún requisito para el software antivirus si tengo Windows Defender en mi computadora?

¿Cómo aseguras tu servidor Ubuntu?

Cómo saber que algunos de los administradores de contraseñas comercializados normalmente en un modelo freemium no están recolectando contraseñas para que la CIA / NSA las use

¿Cómo podemos evitar el virus shortkut en pendrive?

¿Qué pasos puede tomar un estudiante de maestría para solicitar un trabajo de seguridad?

¿Puedo instalar varios antivirus en la misma máquina?