¿Forzar a los usuarios a cambiar las contraseñas es útil?

Navega tus respuestas
15

En muchos lugares, hay una política que obliga al usuario a cambiar su contraseña una vez unos pocos meses. La lógica aquí es que, incluso si la contraseña se ha filtrado de alguna manera, será abusada solo por un período de tiempo relativamente corto. De modo que una nota con su contraseña que arrojó a su contenedor ahora, no vendrá y lo cazará en cinco años.

Pero lo que falta en esta política es, en mi opinión, el factor personas. Lo que muchas personas suelen hacer cuando se les obliga a cambiar su contraseña, es elegir una nueva contraseña para no estar muy lejos de la original. Ya que es difícil memorizar la nueva contraseña cada mes. Por ejemplo 

foo1bar
foo2bar
foo3bar

o así. Por lo tanto, un atacante con un mínimo de sentido, activaría a john-the-ripper o equivalente, y descubriría su contraseña en ningún momento. Heck, la entropía de la nueva contraseña dada la contraseña anterior es generalmente tan baja, por lo que incluso puede omitir un sistema de contraseña que alerta al administrador si ingresó la contraseña incorrecta tres veces seguidas. Probablemente encuentre el nuevo en 10 intentos y, dado que el usuario inicia sesión una vez al día, un ataque podrá descubrirlo en un mes.

Entonces, estoy preguntando: ¿una política que obligue a los usuarios a cambiar su contraseña de vez en cuando realmente proporciona más seguridad que su costo?

    
pregunta Elazar Leibovich 15.09.2011 - 12:28
fuente

4 respuestas

21

Como observas, cuando obligas a a los usuarios a hacer algo, no les gusta, porque les dificulta las cosas. Los usuarios rara vez se centran en la seguridad; no es su trabajo y, en cambio, su trabajo implica pasar por los obstáculos que el departamento de seguridad tiene para hacer. Así que reaccionan de manera lógica, tomando medidas que les facilitan la vida.

Las contramedidas clásicas empleadas por los usuarios incluyen:

  • derivación simple de la nueva contraseña de la anterior (pero hay interfaces de administración de contraseñas que intentan evitar que: "la nueva contraseña sea demasiado similar a la antigua");

  • recorre una lista de contraseñas, generalmente se reduce a dos contraseñas; el usuario simplemente intercambia sus contraseñas "normales" y "alternativas" cada vez que se solicita un cambio de contraseña (para evitar eso, el sistema de administración de contraseñas debe recordar las contraseñas anteriores, que pueden ser un peligro para la seguridad);

  • el favorito de todos los tiempos de escribir las contraseñas en una nota adhesiva (astutamente escondida debajo del teclado);

  • obtener contraseñas de una "lista natural", por ejemplo, jugadores actuales en un equipo de fútbol (no es fácil hacer una prueba automatizada que detectará eso, pero un atacante humano con media neurona lo manejará fácilmente).

Por lo tanto, el aumento de la seguridad a través del cambio regular de la contraseña será, en el mejor de los casos, dudoso. Su principal virtud es evitar el establecimiento de una "contraseña tradicional" local que los empleados se comunican entre sí durante años, y los empleados anteriores siguen recordando.

Teóricamente, el cambio de contraseña regular podría dar a los usuarios la sensación de que "algo que vale la pena proteger está sucediendo" y hacer que sean más cautelosos con sus contraseñas; en la práctica, nunca he presenciado eso.

    
respondido por el Thomas Pornin 15.09.2011 - 12:51
fuente
4

Uno de los aspectos que aún no se ha mencionado, es en mi opinión el más importante: el conocimiento del usuario. Puedo decirle por experiencia que cada vez que puede ofrecer a los usuarios una demostración de cuál sería el impacto de una contraseña incorrecta y hacerlos conscientes de ello, comenzarán a valorarla y entenderla. La concientización es exactamente la razón por la que nosotros, personas de seguridad, entendemos el problema. Sabemos el impacto, los usuarios comunes no lo hacen.

Muéstrenlos en un taller informándoles, para que comprendan la causa raíz de la política de contraseñas.

    
respondido por el Henri 15.09.2011 - 23:21
fuente
3

Cuando los usuarios son humanos, forzar los cambios de contraseña no necesariamente aumenta la seguridad.
Consulte la publicación de la FTC " Es hora de repensar obligatorio cambios de contraseña " por el tecnólogo en jefe Lorrie Cranor, en base a la investigación sobre cómo los humanos usan estos sistemas. (Cobertura del Washington Post aquí .)

    
respondido por el WBT 03.03.2016 - 21:27
fuente
2

Además de algunas de las razones anteriores, cambiar las contraseñas también ayuda a evitar que los piratas informáticos roben credenciales cifradas robadas y las utilicen. Si el tiempo entre los reinicios es menor que el que tomará el crack del hash, el atacante no puede usar la contraseña.

Por ejemplo, imagine que un banco pierde toda su base de datos cifrada de contraseñas, pero no se da cuenta. El banco requiere el uso de contraseñas de naturaleza compleja, con una longitud de al menos 10 caracteres, y requiere un restablecimiento cada 90 días. Los piratas informáticos tienen a su disposición un sistema que eliminará un hash complejo de 10 caracteres en un plazo de 120 días.

Entonces, si los usuarios cambian sus contraseñas cada 90 días, las credenciales cifradas robadas "caducarán" antes de que los piratas informáticos tengan tiempo para descifrarlas.

Obviamente, los sistemas de craqueo modernos pueden hacer mucho mejor que 120 días, pero sigue siendo un buen ejemplo por una cosa: ¿Cuántas cuentas de usuario quieren los piratas cibernéticos hacer antes de que hagan algo malo? Uno podría ganarles $ 200 dólares, pero 20,000 les dará $ 2 millones. Ocultarse en esos números también es un buen método de administración de riesgos, ya que obtener 20,000 combinaciones de nombre de usuario y contraseña fácilmente llevaría meses.

* Nota: Todas las veces que doy son conjeturas. Hay una gran cantidad de variables que se utilizan para descifrar una contraseña, y no todas son predecibles.

Mike

    
respondido por el MToecker 15.09.2011 - 17:45
fuente

Lea otras preguntas en las etiquetas

¿Cómo puedo hacer que SSH me solicite la clave RSA en lugar de la clave ECDSA? ¿Es seguro almacenar el hash de la contraseña en una cookie y usarlo para iniciar sesión "recordarme"?