Me pregunto si hay alguna investigación detrás del ciclo de restablecimiento de contraseña más común que he visto durante 90 días, y si hay alguna investigación que ofrezca información sobre cómo optimizar los restablecimientos de contraseña para reducir la reutilización de contraseña.
La investigación muestra que requerir cambios de contraseña basados en el tiempo aumenta la reutilización (los usuarios usarán una contraseña de otro sitio, ya que ya la tienen memorizada, o usarán un duplicado de su contraseña anterior), disminuye la complejidad de la contraseña, y aumenta las probabilidades de que la contraseña se escriba en algún lugar.
Las respuestas y los documentos en esta relacionada La pregunta sería un buen punto de partida para lecturas adicionales, por ejemplo, la introducción y conclusión de este .
En resumen, si desea minimizar la reutilización de la contraseña, no necesita cambios de contraseña basados en el tiempo. La mejor manera que he visto para alentar contraseñas únicas es proporcionar al usuario una contraseña generada aleatoriamente al momento de crear la cuenta, en lugar de permitirle especificar una contraseña.
Supongo que por "frecuencia de restablecimiento de contraseñas" quiere decir que la contraseña caduca, es decir, "el usuario debe cambiar la contraseña después de X cantidad de tiempo".
Por sí mismo, el envejecimiento de la contraseña no tiene ningún impacto en la reutilización de la contraseña. Por definición, la caducidad de la contraseña simplemente dice que el usuario debe elegir una nueva contraseña después de un cierto período de tiempo. Los parámetros clave que cooperan con la caducidad de la contraseña para evitar la reutilización de la contraseña son el "historial de contraseñas" (cuántas contraseñas anteriores el sistema debe realizar un seguimiento de cada cuenta) y la "antigüedad mínima de las contraseñas" (cuánto tiempo debe esperar un usuario después de cambiar una contraseña antes). pueden cambiarlo de nuevo.
He aquí por qué:
Digamos que su sistema requiere que los usuarios cambien su contraseña cada 180 días, tiene un historial de contraseña de 6, pero no tiene una edad mínima para la contraseña.
Esto significa que si un usuario solo cambia las contraseñas cuando el sistema lo requiere, puede reutilizar su primera contraseña después de 2,5 años (o 3 años, depende de cómo la cuente).
Sin una edad mínima para la contraseña, un usuario puede cambiar su contraseña, y luego volver a cambiarla 6 veces más de inmediato, y finalmente volver a su primera contraseña.
Una política de antigüedad de contraseña mínima hace que esto sea mucho más difícil. Una edad mínima de 24 horas significa que se tarda una semana en realizar todas esas iteraciones y volver a la contraseña original. Haga la edad mínima de 7 días y ahora está en el rango de 1-2 meses.
Lea otras preguntas en las etiquetas passwords password-management