Un sitio WWW me guió para cambiar la contraseña regularmente. ¿Debo creer lo que dice, si mi contraseña actual es lo suficientemente larga como una cadena aleatoria?
Cambiar su contraseña es más una característica de precaución que la seguridad real. Teóricamente, casi cualquier contraseña puede ser crackeada; por lo tanto, incluso si su contraseña es 'aod1937: #; / jwi6; (@ 6sk', se podría descifrar. Si alguien la ha descifrado, tiene acceso a lo que está protegiendo. Cambiar su contraseña termina su acceso: así, al cambiarla Regularmente limitas el tiempo que tienen los atacantes para hacer daño.
Los cambios regulares de contraseña son, en teoría, una buena idea porque garantizan que alguien no puede adquirir su contraseña y la utilizan para espiar a usted durante un período prolongado de tiempo. Sin embargo, cambiar tu contraseña regularmente no ayudará mucho .
Si un atacante obtiene acceso a sus cuentas, lo más probable es que utilicen su acceso para causar daños de inmediato. Si obtienen acceso a su cuenta bancaria en línea, iniciarán sesión e intentarán transferir dinero en lugar de sentarse y esperar. Si obtienen acceso a una cuenta de compras en línea, iniciarán sesión e intentarán pedir productos con la información de su tarjeta de crédito guardada. Si obtienen acceso a su correo electrónico, es probable que lo utilicen para spam y phishing, o intenten restablecer las contraseñas en otros sitios con él. Si obtienen acceso a su cuenta de Facebook, probablemente intentarán enviar correo basura o estafar a sus amigos de inmediato.
Los atacantes típicos no se quedarán con sus contraseñas durante un período prolongado de tiempo y no podrán rastrearlo. Eso no es rentable, y los atacantes solo buscan ganancias. Notarás si alguien obtiene acceso a tus cuentas.
Los cambios de contraseña en respuesta a eventos específicos son una buena cosa, por supuesto. Es una buena idea cambiar sus contraseñas en sitios web que son vulnerables a Heartbleed pero que ahora lo han cambiado. Cambiar su contraseña después de que un sitio web haya robado su base de datos de contraseñas también es una buena idea.
Si un atacante pudiera obtener acceso a las contraseñas encriptadas, le tomaría algún tiempo forzarlas bruscamente (al menos en teoría). Forzar a los usuarios a cambiar regularmente sus contraseñas estaba destinado a hacer esa tarea inútil. Si se estimara que tomaría, digamos, 40 días para aplicar una contraseña de 8 caracteres a bruteforce, hacer que los usuarios la cambien cada 30 días haría que la contraseña forzada no sea válida. O al menos eso es lo que la gente pensaba hace algunos años.
Ahora, volvamos al mundo real: no es solo que la contraseña de fuerza bruta sea bastante inútil en sí misma, ya que la mayoría de las contraseñas no son aleatorias, sino basadas en palabras, por lo que un ataque de diccionario es mucho más eficiente; el software y el hardware de descifrado de contraseñas crecen de manera exponencial (como el software basado en GPU), por lo que la duración y la complejidad mínimas que debe requerir a sus usuarios crecerán cada año, haciendo que el uso de "perder mi contraseña" crezca cada año; pero obligar a las personas a cambiar sus contraseñas de vez en cuando les hace usar contraseñas basadas en el tiempo o en la secuencia, como mypassword-aug2014 o mypassword-7th-change , por lo que el propósito del cambio se invierte completamente, como cualquiera podría adivinar la próxima contraseña esos casos, incluso si un año ha pasado.
Si es posible, usa autenticación de dos factores.
Lea otras preguntas en las etiquetas passwords