En muchos lugares, hay una política que obliga al usuario a cambiar su contraseña una vez unos pocos meses. La lógica aquí es que, incluso si la contraseña se ha filtrado de alguna manera, será abusada solo por un período de tiempo relativamente corto. De modo que una nota con su contraseña que arrojó a su contenedor ahora, no vendrá y lo cazará en cinco años.
Pero lo que falta en esta política es, en mi opinión, el factor personas. Lo que muchas personas suelen hacer cuando se les obliga a cambiar su contraseña, es elegir una nueva contraseña para no estar muy lejos de la original. Ya que es difícil memorizar la nueva contraseña cada mes. Por ejemplo
foo1bar
foo2bar
foo3bar
o así. Por lo tanto, un atacante con un mínimo de sentido, activaría a john-the-ripper o equivalente, y descubriría su contraseña en ningún momento. Heck, la entropía de la nueva contraseña dada la contraseña anterior es generalmente tan baja, por lo que incluso puede omitir un sistema de contraseña que alerta al administrador si ingresó la contraseña incorrecta tres veces seguidas. Probablemente encuentre el nuevo en 10 intentos y, dado que el usuario inicia sesión una vez al día, un ataque podrá descubrirlo en un mes.
Entonces, estoy preguntando: ¿una política que obligue a los usuarios a cambiar su contraseña de vez en cuando realmente proporciona más seguridad que su costo?