Español
English
Français
Deutsch
Italiano
Português
日本語
한국어
Русский
Reflexiones sobre los cambios de contraseña programados (¡no los llame rotaciones!)
Todavía usamos contraseñas en muchas, quizás en la mayoría, de nuestras cuentas, porque todavía usamos muchos servicios en línea que no ofrecen ningún otro tipo de sistema de inicio de sesión.
Justo hoy, por ejemplo, pagué cuotas de membresía a un grupo relacionado con el ciclismo que me pidió mi dirección postal para que pudiera enviarme mi tarjeta de membresía, que pensé que era una forma deliciosamente simple y tradicional de permitirme recuperar mi número de membresía. en el futuro mientras está en la carretera.
En el tipo de clima frío y empapado que tienes durante gran parte del año en Inglaterra, sacas un teléfono móvil, esperas una señal, te quitas los guantes (no es muy divertido volver a ponértelos cuando estás en invierno... anegado), y jugando con aplicaciones, sitios web, contraseñas, códigos 2FA y más...
…bueno, no es tan fácil como encontrar una tarjeta de plástico a prueba de agua, a prueba de choques y que no requiera baterías con sus datos básicos.
Pero junto con mi confirmación de pago, que me informaba que mi tarjeta de membresía estaba en camino, era un recordatorio de que si alguna vez quería renovar mi membresía o solicitar una tarjeta plástica de reemplazo a prueba de agua, a prueba de choques y que no requiere baterías. (lamentablemente, no son a prueba de pérdidas), necesitaría crear una cuenta en el sitio web del grupo, entonces, ¿por qué no elegir una contraseña ahora mismo?
En pocas palabras, para evitar la necesidad de una contraseña en primer lugar, tendría que crear una en segundo lugar.
Y cada vez que surgen contraseñas, también surge una pregunta de larga data:
¿Debería cambiar todas sus contraseñas todo el tiempo para convertirlas en objetivos de rápido movimiento para los ciberdelincuentes, o bloquear las realmente complejas para empezar y luego dejarlas en paz?
De hecho, ese era el problema al que se enfrentaba un lector de Naked Security desde hace mucho tiempo esta misma mañana, cuyo propio equipo de TI estaba al tanto de este mismo dilema, posiblemente debido a una cuasi-inseguridad cibernética que acababan de experimentar de primera mano.
¿Cual es mejor?
¿Contraseñas complejas o frases de contraseña que no se cambian con frecuencia, o contraseñas mal elegidas que se cambian con regularidad?
Nuestros pensamientos sobre el asunto son los siguientes:
Cambiar regularmente su contraseña no la convierte mágicamente en una mejor contraseña.
¡Solo elegir una mejor contraseña en primer lugar la convierte en una mejor contraseña! (Aquí es donde los administradores de contraseñas pueden ayudar).
Naked Security Live: ¿qué pasa si mi administrador de contraseñas es pirateado?
En otras palabras, le sugerimos que primero aborde el problema de ayudar a sus usuarios a elegir contraseñas decentes, luego anímelos a reconocer los casos en los que deben cambiar sus contraseñas de inmediato, sin necesidad de un cronograma para decirles que lo hagan…
…y solo entonces debería preocuparse por si realmente necesita una política de contraseñas de "cambios regulares independientemente".
Exigir cambios de contraseña todos los meses cuando simplemente no es necesario es simplemente invitar a las personas a guardar sus nuevas contraseñas de manera insegura, o elegir nuevas contraseñas descuidadamente, o rotar a través de una secuencia repetitiva de N contraseñas relacionadas, o solo actualizar sus contraseñas. cada 30 días, incluso en casos de emergencia.
Dicho esto, es una buena idea bloquear a los usuarios que no han accedido a cuentas específicas de la empresa durante un tiempo determinado. (Esto también protege modestamente contra las cuentas olvidadas, porque eventualmente caducan automáticamente).
Bloquear a los usuarios por inactividad es más intrusivo que simplemente obligarlos a restablecer sus contraseñas regularmente y, por lo tanto, es impopular.
Pero si alguien tiene un inicio de sesión de cuenta de la empresa que no está usando, ¿por qué no presionarlo para que justifique en persona por qué todavía lo necesita después de no haberlo usado durante, digamos, seis meses o un año?
Después de todo, si se trata de un inicio de sesión para un producto o servicio que cobra una tarifa por usuario... incluso puede ahorrar el costo de su suscripción.
Y si realmente ya no necesitan la cuenta, los está ayudando a no meterse en problemas al evitar que los malhechores y ciberdelincuentes hagan cosas malas en su nombre.
Seguir@NakedSecurity en Twitterpara las últimas noticias de seguridad informática.
Seguir@NakedSecurity en Instagrampara fotos exclusivas, gifs, videos y LOLs!
¿Debería cambiar todas sus contraseñas todo el tiempo para convertirlas en objetivos de rápido movimiento para los ciberdelincuentes, o bloquear las realmente complejas para empezar y luego dejarlas en paz? Cambiar las contraseñas regularmente no es una alternativa a elegir y usar contraseñas seguras. Obligar a las personas a cambiar sus contraseñas de forma rutinaria puede hacer que adquieran malos hábitos. La programación de cambios de contraseña puede retrasar las respuestas de emergencia. @NakedSecurity en Twitter @NakedSecurity en Instagram