¿La prevención del reciclaje de contraseñas aumenta o daña la seguridad general?

Los restablecimientos forzados de contraseñas empeoran las contraseñas, a menos que los usuarios sean informados de otra manera (lo que puede ser no trivial, especialmente en el espacio empresarial de Windows).

Los crackers de contraseñas conocen muy bien la mayoría de los esquemas comunes que los usuarios usan cuando se enfrentan con un reinicio forzado periódico (incrementando un número, "Spring2018!" para coincidir con el ciclo de 90 días, etc.). Los crackers de contraseñas tienen muchas herramientas para explotar rápidamente estos patrones. "[Temporada actual] [año actual]!" es literalmente una de las primeras contraseñas que intentarán los pentesters y los crackers. Debido a esto, los reinicios forzados son una cura comprensible pero, en última instancia, equivocada.

La verdadera solución es una combinación de educación del usuario (enseñar a los usuarios a usar frases de contraseña aleatorias) y tecnología mejorada (UX mejorada para proporcionar comentarios inmediatos sobre exactamente por qué una contraseña propuesta es probablemente mala, y (lo que es más importante, sugerimos estrategias alternativas).

En el lado de la aplicación web, la mejora de la experiencia de usuario es posible hoy, pero no hay buenas implementaciones de referencia que yo sepa. (¡Probablemente deberíamos hacer uno!) Pero su pregunta casi seguramente se debe a un caso de uso corporativo, ya que la mayoría de los sitios web no obligan a la rotación de contraseñas de forma programada.

Para el inicio de sesión interactivo de Windows (el caso de uso corporativo más común), existen restricciones a nivel del sistema operativo (passfilt.dll) sobre cómo se puede usar el UX para proporcionar comentarios específicos de contraseña al usuario. Por lo tanto, el ecosistema de Windows hace que sea difícil ayudar a los usuarios corporativos a elegir contraseñas seguras (lo que es desafortunado, porque las contraseñas NTLM son uno de los formatos hash más rápidos / más fáciles de descifrar)

La teoría es que una contraseña no debe ser adivinable (no en diccionarios comunes), debe ser resistente a ataques de fuerza bruta (el tiempo suficiente), debe ser específica (no es común a sitios no relacionados), debe cambiarse regularmente (para evitar hombro surfing ), y nunca se reutiliza porque eso anularía la regla anterior. Y el usuario debería poder recordarlo ...

Entonces, todas esas malditas reglas de contraseña tienen sentido, incluida la prevención del reciclaje de contraseñas. El problema es que los simples mortales no son buenos para encontrar buenas contraseñas. En ese sentido, esta regla es la más difícil de aceptar para los usuarios, porque encontrar una contraseña aceptable es difícil, 2 o 3 requiere valentía y coherencia, más de 10 por año es simplemente imposible. Con suerte, generalmente se implementa almacenando los últimos hashes a excepción del último que se solicita al mismo tiempo que el nuevo. Por lo tanto, tener 2 contraseñas no relacionadas y simplemente agregar un número es suficiente para cumplir con ese requisito.

La buena noticia es que es suficiente para protegerse contra algunas amenazas: si un atacante alguna vez obtuvo una base de datos de contraseñas con hash y podría descifrar algunas de ellas, los esquemas de hash de contraseñas decentes no permiten adivinar que se cambió una sola letra. por lo que el atacante no tiene ninguna razón especial para concentrarse en esa contraseña. La mala noticia es que si un atacante ha encontrado a FooBar1 como contraseña y el ataque es supervisado por humanos, entonces es probable que prueben FooBar2, 3, etc.

En cuanto a las otras reglas, cierra algunas amenazas a costa de la experiencia del usuario, y no es una bala de plata de todos modos. Puede ayudar, siempre que los usuarios estén informados sobre el por qué y cómo (*).

El único caso de uso en el que sería realmente contraproducente, sería si una base de datos de contraseñas antiguas se mantuviera en forma invertible ...

La educación de los usuarios es esencial para la seguridad, porque si no pueden entender el por qué, solo intentarán pasar las reglas y escribir la contraseña en un papel, junto con el nombre de usuario ...

Este documento de algunas personas en CMU discute la reutilización de la contraseña y su comportamiento: enlace

Indican "Nuestros resultados muestran que la reutilización de la contraseña, tanto en forma exacta como parcial La forma es extremadamente rampante. Los participantes en nuestro estudio tienen contraseñas. para 26.3 dominios web en promedio, y parecen tratar con el problema de crear y recuperar estas contraseñas por Reutilizando parcial o exactamente aproximadamente el 80% de sus contraseñas. a través de dominios ".

A su pregunta sobre si reutilizar o no las contraseñas lo hace más o menos seguro. Debería decir que te hace menos seguro. Si un atacante obtiene acceso a un volcado de contraseña en el sitio X e intenta sus credenciales en el sitio Y, usted ha reciclado una contraseña para el atacante.

En el documento "El efecto dominó de la reutilización de contraseñas" apoyan este dicho: "Si los usuarios tienen Muchas cuentas protegidas por contraseña y reutilizan una contraseña en más de una cuenta, un hacker ganando el acceso a una cuenta puede tener acceso a otros. Si, por ejemplo, un hacker obtiene acceso a un débil Defendido servidor de archivos del departamento y esas contraseñas son robados, esas contraseñas podrían ser utilizadas para obtener acceso a un sistema corporativo más seguro. "