¿Cómo cambiar la contraseña de cualquier cuenta con frecuencia ayuda a hacer que su cuenta sea más segura si ya tiene una contraseña segura?

Ejemplo del mundo real:

Términos, conceptos:

• Una transferencia bancaria es un mecanismo de “transferencia” de transferencia de fondos.
• Las “transferencias bancarias no contabilizadas” son un eufemismo para el dinero que se envía sin una orden / solicitud de transferencia correspondiente.

La historia
En una de las compañías de fondos mutuos más grandes y privadas, las solicitudes de transferencias bancarias fueron aprobadas por 2 personas. Por supuesto, esto fue antes de que las computadoras y la red habilitaran aplicaciones financieras (¿1980?)
En la década de 1990, una vez que surgieron las redes y los servicios computarizados, este control se degradó a una aprobación electrónica de 1 persona (un pequeño conjunto de vicepresidentes en una organización específica).

“Transferencias electrónicas no contabilizadas”
En este ejemplo, comenzaron a salir transferencias bancarias no registradas de ~ $ 6 millones, una vez por semana. Estos fueron atrapados por el proceso de conciliación semanal. La cantidad estaba justo o cerca del nivel de preocupación.

La investigación encontró el problema y lo detuvo.

Lo ves:
Una familia organizada, por así decirlo, consiguió una secretaria en esta compañía financiera, donde trabajó para llegar a esa parte de la organización. Una vez que llegó allí, obtuvo la contraseña de uno de esos vicepresidentes y comenzó a transferir ese dinero semanalmente.

Había estado adivinando una contraseña de VP, una vez al mes, 3-4 veces hasta que se bloqueó la cuenta.

El vicepresidente obligaría al servicio de asistencia de TI a * volver a habilitar * su cuenta y no a “restablecer la contraseña y luego habilitar” (según la política).

Su contraseña era un objetivo ESTÁTICO para la fuerza bruta, adivinar metódicamente la contraseña.

… y, sí, la TI y la seguridad no verificaban proactivamente los registros para detectar patrones tan bajos y lentos ni buscaban un número impar de tickets de soporte de ‘contraseña olvidada’)

Las dos cosas no están relacionadas. Las contraseñas seguras cuando se ven comprometidas son tan inútiles como las contraseñas débiles. Necesita procedimientos sólidos de administración de contraseñas, NO USE LA MISMA CONTRASEÑA por todas partes, e idealmente use un administrador de contraseñas como LastPass o 1Password.

Considere estos supuestos:

• Su contraseña es realmente segura (lo que significa que no será descifrada por la fuerza bruta en un tiempo razonable usando las herramientas disponibles actualmente)
• El sistema está debidamente asegurado (lo que significa que la contraseña está encriptada en el cable y se envía solo al servidor auténticamente correcto, y ese servidor almacena solo un hash salado, preferiblemente un hash iterativo y una sal única para el usuario; y que ni el cliente ni el servidor ha sido infectado con un software que podría robar la contraseña a pesar de todo lo demás)
• Su contraseña es realmente privada (lo que significa que la comparte con nadie y no la tiene escrita en ningún lugar donde pueda encontrarse)
• Su contraseña es realmente única (lo que significa que nunca usa la misma contraseña, o una variación cercana, en ningún otro sistema).

Si todas esas suposiciones son ciertas, entonces cambiar su contraseña no aumenta la seguridad de su cuenta.

El problema es que los administradores de seguridad del sistema solo pueden verificar las dos primeras condiciones, ¡y realmente nunca confían en que puedan verificar la segunda! Más importante aún, saben que tienen que confiar en ti en los últimos dos … y no lo hacen. Deben suponer que usted no es tan cuidadoso como debería ser. Deben suponer que podría compartir accidentalmente su contraseña con alguien que no debería (es decir, ingeniería social), o que podría volver a usar su contraseña en otro sistema que no esté protegido de manera adecuada y que pueda ser violado.

Lamentablemente, hay muchos sistemas mal protegidos por ahí. Escuchamos sobre otra violación importante cada pocas semanas, y cada violación está contribuyendo con más datos a las bases de datos de contraseñas, tablas de arco iris e información estadística que utilizan Bad Guys.

Y por lo tanto, la suposición predeterminada debe ser que su contraseña podría ser violada.

Dos cosas aumentan con el tiempo: la probabilidad de que la contraseña específica se reutilice o se revele y se infrinja, y la oportunidad de que un tipo malo use la contraseña infringida para acceder a sus datos. Los requisitos para cambiar su contraseña periódicamente tienen la intención de reducir tanto la probabilidad de incumplimiento como la ventana de oportunidad para la explotación.

En caso de que la contraseña esté expuesta de alguna manera (alguien lo vio escribir, troyanos, etc.), cambiarla con frecuencia evitará el acceso no autorizado a largo plazo.

Bueno, he conocido un buen número de personas de seguridad inteligentes que construirían un caso que en realidad no es así, en el mundo de 2012. Un amplio desacuerdo sobre el “lapso de tiempo recomendado” para cambios tales como 30, 60, 90, etc. días respalda ese caso. Además, piense en los PIN de cajeros automáticos que esencialmente nunca se cambian pero que son bastante seguros debido a otras razones.