¿Por qué algunos sitios impiden que los usuarios reutilicen sus contraseñas antiguas?

La primera pregunta es: ¿por qué algunos servicios requieren que las contraseñas se cambien periódicamente? La respuesta es "Mitigación de riesgos".

El gobierno corporativo requiere que las políticas de seguridad de TI se definan de acuerdo con un plan de gestión de riesgos. Una de las preguntas que se hacen los planes de administración de riesgos es cómo se puede mitigar un riesgo si ocurre. En el contexto de las contraseñas, la pregunta es cómo podemos limitar el daño de una pérdida de contraseña.

Si el administrador del sistema es consciente de la fuga, se puede notificar a los usuarios y se pueden tomar otras medidas. Para reducir el daño causado por una pérdida de contraseña de la cual el administrador no tiene conocimiento, la vida útil de las contraseñas se limita a fin de que cualquier contraseña filtrada se pueda usar solo por un corto período de tiempo.

Por lo tanto, los servicios requieren cambios periódicos de contraseñas. El problema es que a los usuarios realmente no les gusta cambiar sus contraseñas. Entonces, lo que los usuarios solían hacer cuando se les obligaba a cambiar su contraseña era cambiarla dos veces: una vez a una contraseña temporal y luego una segunda vez a la contraseña original. Por supuesto, esto anula el propósito de la política de exigir que se cambien las contraseñas.

Así que lo siguiente que hicieron los administradores fue almacenar las dos últimas contraseñas y verificar que la nueva contraseña sea diferente a las anteriores. Los usuarios astutos contestaron eso cambiando la contraseña tres veces: dos contraseñas temporales y de vuelta a la contraseña original.

Podría pensar que los usuarios no se preocuparían por no cambiar las contraseñas, pero esto es lo que realmente sucedió. Un administrador, un amigo mío, comparó las contraseñas con hash en su sistema después de un año y descubrió que casi todas las contraseñas eran las mismas, a pesar del hecho de que la política de contraseñas obligaba a los usuarios a cambiar las contraseñas cada tres meses.

Así que los administradores comenzaron a almacenar las últimas 10 contraseñas. Y los usuarios respondieron utilizando una contraseña fija más un solo dígito cambiante al final de un ciclo de 10 contraseñas. Y así hemos llegado a la situación actual en la que muchos sistemas almacenan todas las contraseñas anteriores.

Habiendo dicho todo eso, el valor real de estas políticas es dudoso. Los seres humanos tienen una capacidad limitada para recordar contraseñas y, si se desperdicia en recordar estas contraseñas que cambian rápidamente, no se pueden usar para mantener diferentes contraseñas en diferentes sitios (lo que es mucho más importante).

Porque a los burócratas les encanta ser burocráticos. Piensan que están agregando valor al imponer todas estas restricciones. En realidad, no tanto. No está claro si hay algún valor en exigir a las personas que cambien las contraseñas o evitar la reutilización de contraseñas antiguas de forma rutinaria. Pero, ¿qué puedes hacer?

Estas políticas a menudo son impuestas por personas no técnicas, que no están acostumbradas a pensar en un análisis cuidadoso del riesgo de una manera lógica y sistemática. Si se siente bien, entonces van con eso. Y puedo entender por qué imponer este tipo de requisitos se siente como algo bueno: se siente como si estuvieras "haciendo algo". Y seguramente hacer algo tiene que ser mejor que nada , ¿verdad? O eso dice el pensamiento, de todos modos. (El pensamiento es probablemente incorrecto, pero no importa.)

Como alternativa, a veces hay requisitos de cumplimiento externos que pueden obligar a los administradores del sistema a imponer este tipo de requisitos. Es posible que esos requisitos de cumplimiento no sean útiles o razonables, pero si existen, no hay otra opción: usted tiene que cumplir.

Me gustaría indicarle un fantástico trabajo de investigación sobre este tema:

• ¿De dónde provienen las políticas de seguridad? , Dinei Florencio y Cormac Herley, SOUPS 2010 (ganadora del premio al mejor papel ).

El documento examina 75 sitios web diferentes, que abarcan una amplia variedad de audiencias y requisitos de seguridad: desde sitios financieros en línea, sitios gubernamentales, sitios educativos, comercio y entretenimiento, entre otros. Examina sus requisitos de contraseña.

Tiene algunos hallazgos sorprendentes. Por ejemplo, el grado de sensibilidad a la seguridad, el valor de los recursos protegidos y el número de usuarios no tienden a correlacionarse con el rigor de los requisitos de contraseña del sitio. Como dice el documento, "Algunos de los sitios más grandes, de mayor valor y más atacados en Internet, como Paypal, Amazon y Fidelity Investments permiten contraseñas relativamente débiles". Incluso los sitios que tienen mucho que perder por las violaciones de seguridad a menudo tienen requisitos de seguridad débiles.

¿Por qué es eso? Esto puede parecer un poco un rompecabezas.

El documento comienza a proporcionar algunas sugerencias cuando observa que los sitios gubernamentales y educativos tienden a tener estrictos requisitos de contraseña, pero los sitios que aceptan publicidad u obtienen más ingresos por usuario tienden a tener requisitos de seguridad más relajados.

El documento finalmente llega a la siguiente conclusión: para los sitios educativos y gubernamentales, sus usuarios no tienen otra opción. Sus usuarios no pueden desertar a un sitio competidor. Por lo tanto, este tipo de sitios puede salirse con requisitos de contraseña innecesariamente estrictos; No tienen incentivo para mejorar la usabilidad. En contraste, los sitios comerciales donde los usuarios tienen una opción han hecho su propio compromiso de riesgo y decidieron que la pérdida de utilidad de los estrictos requisitos de contraseña supera cualquier beneficio de seguridad modesto de los estrictos requisitos de contraseña. De hecho, incluso los sitios comerciales que potencialmente tienen mucho que perder debido a las brechas de seguridad (por ejemplo, la banca en línea y los sitios financieros) a menudo tienen requisitos de contraseña relativamente débiles. Si asume que esos sitios saben lo que están haciendo y ha realizado el análisis de costo-beneficio, esto sugiere que los beneficios de seguridad de los estrictos requisitos de contraseña están superados por los costos de usabilidad.

Es un gran papel. Deberías leerlo.

Por cierto, sé que el documento habla sobre los requisitos de solidez, a diferencia de las políticas de cambio de contraseña o las políticas de reutilización de contraseña, pero las mismas conclusiones se aplican igualmente (en realidad, con más fuerza) a esta última. Los requisitos de seguridad de la contraseña son bastante plausibles y tienen algún beneficio de seguridad. En contraste, no está claro si existe cualquier modelo de riesgo racional que implique cualquier beneficio para las políticas que exigen cambios de contraseña (y evitan la reutilización de contraseñas antiguas). Esto me sugiere que las políticas estrictas de cambio de contraseña y la reutilización de la contraseña probablemente no tengan sentido.

No está mal dejar las contraseñas en vivo por mucho tiempo.

Sin embargo , algunas personas consideran que la renovación de la contraseña es importante y mejora la seguridad. Honestamente, estoy un poco perdido cuando se trata de entender qué tipo de razonamiento va en esa afirmación; en el mejor de los casos, forzar cambios regulares de contraseña puede tener beneficios si consideramos que algunas contraseñas ya han sido robadas; cambiar todas las contraseñas sería como una limpieza superficial, una manera de hacer más tolerable una situación podrida.

Sin embargo, si un administrador del sistema quiere que los usuarios cambien sus contraseñas, entonces prohibir la reutilización de contraseñas es bastante lógico: si los usuarios reutilizan contraseñas antiguas, entonces realmente no están cambiando sus contraseñas. Cualquiera que sea el beneficio que se pueda obtener del cambio de contraseña, se cancelaría con la reutilización de la contraseña anterior.

Básicamente estoy de acuerdo con lo que dijeron Thomas Pornin y David Wachtfogel. Lo que quiero agregar es que a veces esta política se aplica en algunas aplicaciones por razones que no son del todo técnicas. Por ejemplo, si una empresa desea certificar un cumplimiento de PA-DSS, debe cumplir con ciertos requisitos:

The payment application keeps password history and requires 
that a new password is different than any 
of the last four passwords used.

PA-DSS

Recientemente he visto tales implementaciones. Si el hashing de la contraseña es débil (por ejemplo, MD5), en mi opinión, esto puede reducir la seguridad general del sistema. Además, si las personas a menudo se ven obligadas a cambiar sus contraseñas, las escriben en papel, notas, archivos de texto, etc. O simplemente cambian un dígito o carácter dentro de la contraseña. Por otro lado, PA-DSS no impide el uso de algoritmos débiles para almacenar contraseñas (por ejemplo, hash MD5, SHA2 en lugar de PBKDF2 o bcrypt / scrypt).

Realmente no consigo encontrar y entender ningún argumento sólido para tales políticas.

En mi opinión personal, cambiar las contraseñas es una buena práctica. A veces no se nos permite usar una de las contraseñas antiguas, solo en el caso de que las hayamos divulgado en el pasado y no lo recordemos, esto aumenta las posibilidades de que se produzca una violación de la seguridad en su cuenta.

Y algunos sitios web no le permiten hacer esto para obligar a su usuario a cambiar la contraseña (en un lenguaje sencillo, para evitar que alguien escriba la misma contraseña existente, incluso si él / ella se siente flojo para cambiar una, de lo contrario escribirá la misma contraseña que su contraseña actual.)

Me sorprende que nadie lo haya dicho todavía. Desde el punto de vista de los administradores de sitios web, cambiar las contraseñas en un horario regular (incluso si son seguros) es una buena idea en caso de que un atacante ya haya violado su base de datos. Si obliga a sus usuarios a cambiar sus contraseñas regularmente, esperamos que la mayoría de las contraseñas, si no todas, se habrán cambiado para cuando el atacante aprenda la versión de texto simple de su contraseña con hash (que ya había robado).