CESG declara que los usuarios no deben ser obligados a realizar cambios regulares de contraseña, ya que a menudo perjudican, en lugar de mejorar la seguridad. ¿Esta lógica se aplica también a los administradores, como los administradores de dominio?
Para no iniciar esta respuesta con "depende", comenzaré con:
Hay dos formas de responder esto.
En su opinión: ¿Los administradores también son usuarios y operan en el plano de simples mortales? Si es así, entonces la lógica del NCSC también se aplica a los administratos. ¿Son los administradores una raza especial y por encima de la ley? Si está de acuerdo con eso, entonces deben aplicarse reglas especiales. La forma exacta en que se formulan estas reglas especiales depende de una organización a otra y no puede responderse de forma genérica. Una autoridad superior en una organización (un equipo de seguridad, por ejemplo) tiene que mirar los consejos que da el NCSC, luego debe mirar detenidamente a los administradores operativos y luego formular algunas reglas.
Esto depende completamente de su nivel de confianza hacia la autoridad que está citando. ¿Confías en las autoridades superiores en general? Si es así, entonces estás de suerte. Porque en mi (y otros) opinión, el NCSC da muy buenos consejos sobre seguridad de TI y es una fuente formidable. No he leído la fuente que ha proporcionado en su totalidad, pero creo que he entendido la esencia de la misma. Si el NCSC no hace una diferencia entre los administradores y usuarios y otras autoridades como NIST , tampoco lo hace en su Publicación especial para la autenticación y la gestión del ciclo de vida, ¿por qué debería hacerlo?
Sí; Los administradores tampoco deberían estar rotando sus contraseñas. Como administrador, mis contraseñas son completamente aleatorias y se almacenan encriptadas. Para que yo cambie mi contraseña solo agrega rotación "secreta". Sin embargo, al cambiar mi contraseña por otra contraseña aleatoria no se agrega ninguna seguridad en cuanto a si la contraseña se puede descifrar o no. En realidad, argumentaría que si su contraseña aleatoria actual no está en un diccionario en alguna parte y luego una nueva contraseña aleatoria que usted elige está tirando el dado de que la contraseña tampoco está en un diccionario en alguna parte y también es más difícil de descifrar; por lo tanto, cada vez que cambies la contraseña cuando no hay razón para tirar los dados, la contraseña puede ser más difícil de descifrar.
NIST SP 800-63B está de acuerdo con que lo creas o no:
Los verificadores NO DEBEN imponer otras reglas de composición (por ejemplo, requerir mezclas de diferentes tipos de caracteres o prohibir caracteres repetidos consecutivamente) para los secretos memorizados. Los verificadores NO DEBEN requerir que los secretos memorizados se cambien arbitrariamente (por ejemplo, periódicamente) . Sin embargo, los verificadores DEBEN forzar un cambio si hay evidencia de compromiso del autenticador .
Básicamente, con la suposición de que su política de contraseña es lo suficientemente compleja, solo debe hacer que los usuarios cambien su contraseña si así lo desean (preferencia personal) o forzarlos a hacerlo si sospecha que su cuenta ha sido comprometida.
Otra razón válida para no cambiar su contraseña regularmente cuando no se necesita es que los usuarios normales casi siempre usarán una simple variación de la contraseña anterior. Por ejemplo, si su contraseña era mTpaGFrsYht12 , la hacen 1mTpaGFrsYht12 ; si se comprometiera su cuenta, cualquier herramienta de descifrado de contraseñas como john descubriría esa nueva contraseña "rotada". Sin mencionar que si alguien ha comprometido la red y está recolectando hash, cada cambio de contraseña nuevo es un hash y, por lo tanto, una nueva contraseña que el atacante puede almacenar en su base de datos e intentar descifrar sin conexión.
El problema con las contraseñas en la autorización de seguridad es contraseñas débiles , no contraseñas seguras con débil rotación secreta.
Lea otras preguntas en las etiquetas password-policy