Estoy usando un administrador de contraseñas y he optimizado todas mis contraseñas para que sean complejas, largas y únicas.
Me pregunto si hay alguna guía sobre si debo cambiar mis contraseñas de vez en cuando y, de ser así, con qué frecuencia.
Estoy usando un administrador de contraseñas y he optimizado todas mis contraseñas para que sean complejas, largas y únicas.
Me pregunto si hay alguna guía sobre si debo cambiar mis contraseñas de vez en cuando y, de ser así, con qué frecuencia.
En las nuevas directrices del NIST (Instituto Nacional de Estándares y Tecnología de EE. UU.), ahora hay algunos cambios sorprendentes de orientación en varias áreas de la administración de contraseñas. De acuerdo con esto, artículo del blog Sophos 'Naked Security , las nuevas directrices ya no recomiendan el envejecimiento automático o periódico de las contraseñas; más bien, el artículo dice:
La única vez que se deben restablecer las contraseñas es cuando se olvidan, si se han robado o si cree (o sabe) que su base de datos de contraseñas ha sido robada y, por lo tanto, podría ser objeto de un ataque de fuerza bruta sin conexión.
La única otra razón para cambiar las contraseñas en un horario es cumplir con las políticas obsoletas que se resisten a cambiar, como los requisitos de PCI DSS con respecto a las contraseñas:
8.2.4 Cambie las contraseñas / contraseñas de los usuarios al menos una vez cada 90 días.
Esto no es un problema de seguridad sino un problema de cumplimiento. Cuando nos enfrentamos a un reglamento que esencialmente tiene fuerza de ley, el cumplimiento lamentablemente debe prevalecer sobre la seguridad.
Publicación especial 800-63b de NIST: Pautas de autenticación digital
Los verificadores NO DEBEN requerir que se cambien los secretos memorizados arbitrariamente (por ejemplo, periódicamente). Sin embargo, los verificadores DEBEN forzar una cambiar si hay evidencia de compromiso del autenticador.
El NCSC ahora recomienda a las organizaciones no forzar una contraseña regular expiración. Creemos que esto reduce las vulnerabilidades asociadas con caducan regularmente las contraseñas (descritas anteriormente) y hacen poco para aumentar el riesgo de explotación de contraseña a largo plazo.
El problema no es mantener las contraseñas durante mucho tiempo, sino más bien las debilidades que se presentan al crear nuevas. Por lo tanto, si está utilizando un método aleatorio de generación de contraseñas, podría obtener beneficios al actualizar las contraseñas periódicamente.
Pero no hay pautas oficiales sobre la frecuencia con la que debería ser cuando se crean contraseñas de máxima complejidad porque los riesgos son demasiado bajos. Cuando agrega 2FA, los riesgos son aún menores.
Las pautas que necesita se basan en los riesgos que usted identifica . Si cree que el servicio que está autenticando para almacenar contraseñas en texto sin formato se piratea con frecuencia y almacena datos que son críticos para usted, es posible que desee cambiar sus contraseñas con bastante frecuencia, sin importar lo que diga la guía oficial.
Lea otras preguntas en las etiquetas passwords password-management password-policy