¿Con qué frecuencia debo cambiar mis contraseñas

2

Estoy usando un administrador de contraseñas y he optimizado todas mis contraseñas para que sean complejas, largas y únicas.

Me pregunto si hay alguna guía sobre si debo cambiar mis contraseñas de vez en cuando y, de ser así, con qué frecuencia.     

pregunta Gideon Blinick 30.05.2018 - 19:50
fuente

2 respuestas

6

En las nuevas directrices del NIST (Instituto Nacional de Estándares y Tecnología de EE. UU.), ahora hay algunos cambios sorprendentes de orientación en varias áreas de la administración de contraseñas. De acuerdo con esto, artículo del blog Sophos 'Naked Security , las nuevas directrices ya no recomiendan el envejecimiento automático o periódico de las contraseñas; más bien, el artículo dice:

  

La única vez que se deben restablecer las contraseñas es cuando se olvidan, si se han robado o si cree (o sabe) que su base de datos de contraseñas ha sido robada y, por lo tanto, podría ser objeto de un ataque de fuerza bruta sin conexión.

La única otra razón para cambiar las contraseñas en un horario es cumplir con las políticas obsoletas que se resisten a cambiar, como los requisitos de PCI DSS con respecto a las contraseñas:

  

8.2.4 Cambie las contraseñas / contraseñas de los usuarios al menos una vez cada 90 días.

Esto no es un problema de seguridad sino un problema de cumplimiento. Cuando nos enfrentamos a un reglamento que esencialmente tiene fuerza de ley, el cumplimiento lamentablemente debe prevalecer sobre la seguridad.

    
respondido por el Mike McManus 30.05.2018 - 20:55
fuente
1

Publicación especial 800-63b de NIST: Pautas de autenticación digital

  

Los verificadores NO DEBEN requerir que se cambien los secretos memorizados   arbitrariamente (por ejemplo, periódicamente). Sin embargo, los verificadores DEBEN forzar una   cambiar si hay evidencia de compromiso del autenticador.

Guía oficial de NCSC:

  

El NCSC ahora recomienda a las organizaciones no forzar una contraseña regular   expiración. Creemos que esto reduce las vulnerabilidades asociadas con   caducan regularmente las contraseñas (descritas anteriormente) y hacen poco para   aumentar el riesgo de explotación de contraseña a largo plazo.

El problema no es mantener las contraseñas durante mucho tiempo, sino más bien las debilidades que se presentan al crear nuevas. Por lo tanto, si está utilizando un método aleatorio de generación de contraseñas, podría obtener beneficios al actualizar las contraseñas periódicamente.

Pero no hay pautas oficiales sobre la frecuencia con la que debería ser cuando se crean contraseñas de máxima complejidad porque los riesgos son demasiado bajos. Cuando agrega 2FA, los riesgos son aún menores.

Las pautas que necesita se basan en los riesgos que usted identifica . Si cree que el servicio que está autenticando para almacenar contraseñas en texto sin formato se piratea con frecuencia y almacena datos que son críticos para usted, es posible que desee cambiar sus contraseñas con bastante frecuencia, sin importar lo que diga la guía oficial.

    
respondido por el schroeder 30.05.2018 - 21:10
fuente

Lea otras preguntas en las etiquetas