La razón por la que existen las políticas de caducidad de la contraseña, es para mitigar los problemas que se producirían si un atacante adquiriera los hashes de contraseña de su sistema y los rompiera. Estas políticas también ayudan a minimizar algunos de los riesgos asociados con la pérdida de copias de seguridad antiguas ante un atacante.

Por ejemplo, si un atacante interviniera y adquiriera su archivo de contraseña secreta, podría comenzar a forzar las contraseñas sin necesidad de acceder al sistema. Una vez que conocen su contraseña, pueden acceder al sistema e instalar las puertas traseras que deseen, a menos que usted haya cambiado su contraseña en el tiempo que transcurre entre el momento en que el atacante adquiere el archivo de contraseñas ocultas y cuando puede forzar la contraseña. Si el algoritmo de hash de la contraseña es lo suficientemente seguro como para mantener alejado al atacante durante 90 días, la caducidad de la contraseña garantiza que el atacante no obtendrá ningún valor adicional del archivo de contraseñas ocultas, con la excepción de la lista de cuentas de usuario ya obtenida. / p>

Si bien los administradores competentes asegurarán el archivo de contraseña de la sombra real, las organizaciones en general tienden a ser más laxas con respecto a las copias de seguridad, particularmente las copias de seguridad más antiguas. Lo ideal es que, por supuesto, todos sean igual de cuidadosos con la cinta que tiene la copia de seguridad de hace 6 meses como lo son con los datos de producción. Sin embargo, en realidad, algunas cintas más antiguas se extravían, se archivan mal y se pierden en las grandes organizaciones. Las políticas de caducidad de la contraseña limitan el daño que se hace si se pierde una copia de seguridad anterior por el mismo motivo por el que mitiga el compromiso de los hashes de contraseña del sistema en vivo. Si pierde una copia de seguridad de 6 meses, está cifrando la información confidencial y todas las contraseñas han caducado desde que se realizó la copia de seguridad, probablemente no haya perdido nada más que la lista de cuentas de usuario.

He argumentado anteriormente que no mejora nada . Desde ese post:

  

Obviamente el atacante no sabe   Tu contraseña a priori, o el ataque.   no sería fuerza bruta; así que la conjetura   Es independiente de tu contraseña. Tú   no se que tiene el atacante   no tiene, o lo hará la próxima prueba, todo lo que sabe   Es que el atacante agotará todo.   Posibles conjeturas dado suficiente tiempo. Asi que   su contraseña es independiente de la   Supongo que la distribución.

     

Tu contraseña, y la del atacante   adivina tu contraseña, son   independiente. La probabilidad de que el   La siguiente conjetura del atacante es correcta es   lo mismo aunque cambies tu   contraseña primero Caducidad de la contraseña   las políticas no pueden mitigar   ataques de fuerza bruta.

     

Entonces, ¿por qué hacemos cumplir la contraseña   políticas de caducidad? En realidad, eso es   una muy buena pregunta Digamos un   el atacante obtiene su contraseña.

     

La ventana de oportunidad para explotar   esta condición depende del tiempo para   cual la contraseña es valida, verdad?   Mal: tan pronto como el atacante gana   La contraseña, él puede instalar una copia de seguridad.   puerta, crea otra cuenta o toma   Otros pasos para asegurar la continuidad.   acceso. Cambio de la entrada de contraseña   facto derrotará a un atacante que   no está pensando con claridad, pero   En última instancia, una más completa   la respuesta debe ser iniciada.

     

Por lo tanto, las políticas de caducidad de contraseña molestan   nuestros usuarios, y no ayudan a nadie.

Antes de responder si ayuda o no, tiene sentido mirar escenarios específicos. (Eso suele ser una buena idea cuando se trata de medidas de seguridad).

¿En qué situaciones mitiga un cambio de contraseña forzada?

El atacante conoce la contraseña de un usuario pero no tiene puerta trasera. Él no quiere ser descubierto, por lo que no cambia la contraseña por sí mismo.

Veamos si este escenario es probable:

¿Cómo podría haber aprendido la contraseña?

• La víctima podría haberle dicho (por ejemplo, un nuevo interno que debería comenzar a trabajar antes de que establezca su propia cuenta, otra persona que debería subir de nivel en un juego en línea
• El atacante podría haber visto el teclado
• El atacante podría haber tenido acceso a otra base de datos de contraseñas en la que el usuario usó la misma contraseña
• Un inicio de sesión de una sola vez utilizando una computadora de propiedad (preparada) por un atacante.

¿Qué pudo haberle impedido configurar una puerta trasera?

• Es posible que el servicio en cuestión no brinde un camino para las puertas traseras, por ejemplo, una bandeja de entrada de correo electrónico o aplicaciones web comunes.
• Los privilegios del usuario pueden no tener suficiente permiso para instalar una puerta trasera
• El atacante podría pasar por alto el conocimiento requerido (en el juego en línea Stendhal, la mayoría de los "hacks" los realizan hermanos enojados que solo quieren destruir un juguete)
• El atacante podría no haberse vuelto malvado todavía. (p. ej., un empleado que será despedido el mes próximo pero no sospecha nada en este momento).

¿Por qué no usar la contraseña forzada?

Puede ser muy molesto para los usuarios hacer que solo agreguen un contador al final. Esto podría disminuir la entropía de las contraseñas. Según mi experiencia, genera costos de soporte adicionales porque la gente olvida su nueva contraseña más a menudo de lo habitual. Supongo que esto se debe a que el aviso de cambio de contraseña los atrapa desprevenidos mientras están ocupados pensando en otra cosa.

Para concluir

Está lejos de ser una cura para todos y tiene un impacto negativo en la usabilidad, pero tiene sentido equilibrarlo con la probabilidad y el impacto de escenarios similares a los que describí anteriormente.

Microsoft realizó un estudio que concluyó que la política de caducidad de la contraseña no aumenta la seguridad en situaciones reales.

Estos artículos fueron eliminados, pero disponibles en el archivo de Internet:

• Por favor no cambie su contraseña
• Study: Frequent.

Original: Hasta aquí, no, gracias por las externalidades : El rechazo racional de los consejos de seguridad por parte de los usuarios

Todos tenemos nuestras opiniones, pero también deberíamos estar buscando una investigación real sobre la pregunta. Además del documento de Cormac Herley de Microsoft sobre las contraseñas del sitio web que se encuentra en la respuesta de Suma, hay un documento de ACM CCS 2010: " La seguridad de la caducidad de contraseñas moderna: un marco algorítmico y análisis empírico " (pdf), escrito por Yinqian Zhang, Fabian Monrose y Michael Reiter. Analizaron un gran conjunto de datos e hicieron un buen análisis sobre la eficacia de las políticas de caducidad de contraseñas. Su conclusión? Forzar a los usuarios a cambiar su contraseña cada seis meses no es muy útil:

  

al menos el 41% de las contraseñas se pueden interrumpir fuera de línea de las contraseñas anteriores para las mismas cuentas en cuestión de segundos, y cinco en línea   las conjeturas de contraseña son suficientes para romper el 17% de las cuentas.

     

.... nuestra evidencia sugiere que puede ser apropiado eliminar por completo la caducidad de la contraseña, tal vez como una concesión mientras se requiere   los usuarios invierten el esfuerzo de seleccionar una contraseña significativamente más fuerte   de lo que lo harían de otra manera (por ejemplo, una frase de contraseña mucho más larga). ....

     

A más largo plazo, creemos que nuestro estudio respalda la conclusión de que la autenticación simple basada en contraseña debe abandonarse por completo

Para obtener información sobre cómo ayudar a los usuarios a elegir contraseñas más seguras, consulte Política recomendada sobre la complejidad de la contraseña - Seguridad de TI

Las únicas dos buenas razones que he escuchado:

1. Ventana de oportunidad : en un escenario de ataque en línea, diga que usted bloquea la cuenta durante 30 minutos después de 10 intentos incorrectos (la configuración recomendada por Microsoft para entornos de alta seguridad). Sin ninguna caducidad de contraseña, existe potencialmente una ventana de tiempo ilimitada para intentar métodos de ataque de contraseñas comunes, de fuerza bruta o de fuerza bruta. La expiración de contraseñas que En un escenario fuera de línea, en el que no se da cuenta de que sus contraseñas han sido robadas, nuevamente las contraseñas caducadas le brindan al atacante una ventana de tiempo limitada para descifrar las contraseñas antes de que se vuelvan inútiles. Por supuesto, como @ Graham-lee dice que necesita otros controles para detectar cosas como una puerta trasera

2. Cumplimiento : prácticamente todos los reguladores y auditores buscarán la caducidad de la contraseña. Incluyendo PCI-DSS, HIPAA, SOX, Basel II, etc. Correctamente o incorrectamente, este es el mundo en el que vivimos. Además, "nadie fue despedido por comprar la teoría de IBM". Si no tiene la caducidad de la contraseña y otros en su industria sí la tienen, si lo piratean, entonces no estaba siguiendo las "prácticas estándar de la industria". Más importante aún, la alta dirección no puede decirle esto a la prensa, a un regulador, a un tribunal. La misma razón para tener firewalls de inspección completos, antivirus, IDS a pesar de que son menos efectivos ahora que hace 10 años.

Dicho esto, como todos han dicho, el cambio de contraseña es terrible para la experiencia del usuario, especialmente cuando no hay o el inicio de sesión único limitado puede llevar a un "día de cambio de contraseña" en el que un usuario pasa y cambia la contraseña de sus 30 sistemas. a la misma usualmente incrementando un dígito. Este es claramente el comportamiento no deseado. Mi recomendación para cambiar esta cultura si es posible en su entorno de auditoría / regulación es cambiar su política para eliminar la caducidad de la contraseña con una clara justificación (aquí hay mucho). Consiga esto aprobado por el gobierno de seguridad apropiado y revisado por el auditor / regulador. Entonces adelante y cambia los sistemas. Alternativamente, use un inicio de sesión único y una ID federada, idealmente con dos factores, de modo que al menos los usuarios solo tengan que cambiar una o unas pocas contraseñas.

Una razón que no se menciona aquí, es que evita que las personas que usan la misma contraseña para todo pongan en peligro su sistema si su contraseña se encuentra en algún otro lugar. Después de que expiren algunas contraseñas, los usuarios comenzarán a tener que crear contraseñas originales, lo que significa que cuando su contraseña favorita sea robada y todos sus correos electrónicos, sitios de redes sociales y cuentas personales sean pirateados, su sistema seguirá siendo seguro.

¿Cuánto mejorará la seguridad la caducidad de las contraseñas?

Estaimagenmuestra,paraalgunosescenarios,larelaciónentreeltiempoylaprobabilidad,dequeunataquedefuerzabrutaenuntipodecontraseñatuvoéxito,dependiendodelcambioregulardelacontraseña.Eltiempoabsolutoesdemenorinterés.Cuántotiempodura,onohaymuchadiferencia,olavulnerabilidadyaesbastantealta.

Comosemencionóanteriormenteenotros,haydiferentesescenariosenlosquecambiarlacontraseñapodríaayudar:

• a)ElusuarioAlediceauncompañerodetrabajoBsucontraseñaenunasituaciónespecial.Luegosedespideb.AhorapodríapensarenutilizarmallacontraseñadeA(suponemosquesehaeliminadosupropiacuenta),peropodríanecesitaralgodetiempo(perderunadisputacontralaempresaeneltribunal,porejemplo)antesdecomenzarsuataque.Aquí,esmuyútilcambiarlacontraseña,peroporsupuestonodesecret2010asecret2011.
• b)Elatacantetieneaccesoalarchivodelasombra,yestáforzadobrutalmenteconciertacantidaddepotenciadeCPU(oGPU).

Enelcasob),lapolíticaparacambiarlacontraseñaparecerazonable,peroustedsoloobtieneganancias,sielriesgodeservulnerableyaesrealmentealto.Déjameexplicarloconnúmeros:

Supongamosqueunatacantepodríaprobar250000contraseñasporsegundo.Supongamosquedicequelacontraseñacaducadespuésde183días,(aproximadamente6meses).Lacontraseñasegeneradesdea-zA-Z0-9quetiene62signos.Supongamosquelacontraseñatiene8signosdelongitud.Compruebequétanprobableesunarupturadespuésde10años,queesde20intervalosdecambio.

Heescritoun programa , para probar diferentes parámetros; llama al programa con

java PasswordCrackProb 8 62 250000 s 183 20

len             = 8
signs           = 62
attacks per day = 21 600 000 000
change after days= 183
intervals       = 20    days = 3660 years = 10
M               = 218 340 105 584 896
attacks         = 79 056 000 000 000
p(cracked)      = 0,3620773 without change
p(cracked)      = 0,3060774 with change

El resultado significa que está descifrado con un 36% de probabilidad si no se cambió la contraseña y con un 31% si se cambió (pero el atacante tiene un nuevo archivo de sombra). La diferencia es significativa, y más aún si tomamos más tiempo, 40 intervalos, como 20 años:

p(cracked)      = 0,7241546 without change
p(cracked)      = 0,5184715 with change

pero aunque el 52% es mucho más bajo que el 72%, el 52% podría no ser aceptable.
Pero si nos fijamos en intervalos más pequeños, la diferencia relativa entre las contraseñas modificadas y no cambiadas se hace cada vez más pequeña.

p(cracked)      = 0,0905193 without change
p(cracked)      = 0,0873006 with change

Si asumes más potencia de CPU o contraseñas más débiles, el tiempo de crack se reduce, por supuesto, pero la cantidad de ataques por día no es muy interesante. Tenemos que asumir: No podemos obligar al usuario a cambiar la contraseña diariamente. Así que algunos días, tal vez una semana, es lo mínimo. Y no necesitamos un máximo por más de 20 años. Los sistemas cambian, las personas cambian de trabajo. No puede evitar cambiar la contraseña después de 20 años.

Si el atacante tiene demasiado poder y Brute fuerza todo el espacio de nombres en un solo día, un cambio semanal no te ayudará mucho, siempre gana. Y si el atacante solo puede aplicar fuerza bruta al 1% del espacio de nombres (para una longitud de contraseña determinada) en 50 años, tampoco ayuda, para cambiar la contraseña, (casi) siempre ganará.

Solo en un escenario intermedio y equilibrado, el cambio de contraseña podría hacer una diferencia, pero ¿sabe realmente si el malo necesita 1, 10 o 100 años para forzar su contraseña?

Pero tenga en cuenta: si el atacante solo tuvo acceso una vez a su archivo de sombra, que ya está vencido, la comparación de mi programa no se ajusta.

Respuesta simple: en estos días casi nunca ayuda. Las respuestas anteriores dan a los dos escenarios principales donde será, pero incluso entonces, 90 días todavía no son tan útiles.

Podría ser peor: pasamos siglos persuadiendo a la gente de que 30 días eran demasiado cortos, pero en el pasado cuando robar el SAM era relativamente fácil, la gente estaba muy preocupada por un ataque de fuerza bruta en el SAM. Muchas compañías acordaron un compromiso de 90 días, pero aunque el poder de craqueo definitivamente ha aumentado, los hashes están mejor protegidos y, en general, la mayoría de los lugares ahora tienen al menos algunas reglas de complejidad de contraseña, por lo que se ha vuelto mucho menos importante.

Me gustaría añadir una cosa. Podemos abordar este problema desde el ángulo social. Al restablecer la contraseña cada X días, le decimos al usuario: ¡Hey, esto es importante y no debe tomarse a la ligera!

Como una de las novedades en la nueva publicación NIST, llamada Publicación Especial 800-63-3:

  

No más caducidad sin razón. [...] Si queremos que los usuarios cumplan y elijan contraseñas largas y difíciles de adivinar, no deberíamos hacer que cambien esas contraseñas innecesariamente.

De: enlace

La publicación del NIST se puede encontrar aquí: enlace

Tiene algunas otras recomendaciones que el mundo infosec ha aceptado durante mucho tiempo: 8 caracteres como mínimo, una longitud máxima de 64 caracteres o más, sin sugerencias de contraseña o preguntas secretas, permite todos los caracteres (incluido el emoji) y no hay reglas molestas como " debe contener un carácter especial pero no un signo de dólar o porcentaje ".

Todavía es un borrador, pero responde bastante a la pregunta.

Una consideración importante que se debe tener en cuenta al cuestionar esto es que es posible que no sepa que su cuenta ya ha sido violada.

Si su contraseña se hubiera comprometido y usted lo sabía, obviamente se movería de inmediato para cambiarla en cualquier caso.

Al forzarlo a cambiar su contraseña cada 90 días (o la suspensión de la cuenta), los administradores están mitigando dos riesgos. 1. Que los usuarios / cuentas inactivos estarán disponibles por un tiempo ilimitado para que un atacante intente forzarlos de forma bruta. 2. Que, en caso de que no haya sido violado, se le obliga a cambiar su contraseña independientemente (lo que hace que el atacante salga de su cuenta)

La mayoría de los servicios en línea (por ejemplo, los bancos) limitan el número de intentos en línea por unidad de tiempo, lo que hace inútil un ataque de fuerza bruta.

El resultado de una política de cambio de contraseña es casi siempre un riesgo de seguridad. Puede tomar la forma de un Contraseña PostIt , o contraseñas que toman la forma pass!1000 , cambiadas a pass!1001 , luego a pass!1002 y así sucesivamente.

Puede parecer algo mejor en el sentido de que la institución está obligando a cambiar las contraseñas en algún intervalo periódico. Sin embargo, si el usuario está cambiando las contraseñas en el intervalo, pero siempre está dejando un patrón detrás de sus cambios, entonces no tiene sentido cambiar las contraseñas. Su amenaza más seria en cambio. El usuario siente que ha cambiado sus últimas contraseñas y se siente seguro. y el atacante siempre está obteniendo una pista de la contraseña.

-

La mejor manera es sugerir siempre al proveedor de servicios que implemente un algoritmo mejor y más seguro, y luego pide a sus usuarios finales que reinicien la maldita contraseña cada vez. Si alguien es lo mismo, tendrá en cuenta que en estos días tenemos inicio de sesión único y OpenID, donde las personas prefieren iniciar sesión con una cuenta en lugar de recordar contraseñas diferentes para diferentes sitios web.

- A pesar de todas las discusiones, se recomienda cambiar su contraseña con frecuencia, Pero,

On YOUR FREE WILL

Un consejo rápido: use varias palabras en su contraseña (la fecha de marcación más segura).

Para agregar a lo que ya se ha dicho, puedo pensar en 2 razones más por las que cambiar las contraseñas regularmente es útil:

1) Cuando la potencia de cálculo aumenta sustancialmente

Supongamos que a principios de los 90, las contraseñas de 7 caracteres se consideraban seguras porque las computadoras no eran lo suficientemente poderosas para imponerlas.

24 años después, los sistemas que aún tienen la misma contraseña pueden ser forzados por la ley bruta.

Algunos cálculos, considerando que la contraseña consta de 24 letras (mayúsculas y minúsculas), 10 números y 10 símbolos, y la ley de Moore (x2 más poder cada 2 años):

possible combinations = (24 + 24 + 10 + 10) ^ 7 = 6,722,988,818,432

tries per second in 1990 = 100,000 (for example)

time required in 1990 = possible combinations / tries per second = 2 years

tries per second in 2014 = tries per second in 1990 * (2 ^ 12) = 409,600,000

time required in 2014 = possible combinations / tries per second = 4 hours

Se trata más de aumentar la longitud mínima requerida de la contraseña, pero debe hacerse con regularidad y las contraseñas cortas deben cambiarse.

2) Cumplimiento de las normas ISO / IEC 27001/27002

De ISO / IEC 27002: 2013, sección 9.4.3:

  

Un sistema de gestión de contraseñas debería:

     

...

     

e) aplicar cambios regulares de contraseña y según sea necesario;

3) Cumplimiento con estándar PCI DSS

De PCI DSS v3, sección 8.2.4:

  

8.2.4 Cambie las contraseñas / contraseñas de los usuarios al menos cada 90 días.

     

8.2.4.a Para una muestra de los componentes del sistema, inspeccione los ajustes de configuración del sistema para verificar que los parámetros de la contraseña de usuario estén configurados para que los usuarios cambien las contraseñas al menos cada 90 días.

     

8.2.4.b Procedimiento de prueba adicional para proveedores de servicios: revise los procesos internos y la documentación del cliente / usuario para verificar que:

     

• Las contraseñas de usuarios que no son consumidores deben cambiar periódicamente; y

  

• Los usuarios no consumidores reciben orientación sobre cuándo y en qué circunstancias deben cambiar las contraseñas.

  

Las contraseñas / frases que son válidas durante mucho tiempo sin un cambio brindan a las personas malintencionadas más tiempo para trabajar en romper la contraseña / frase.

Rotamos 'contraseñas públicas' (wifi de invitado) para eliminar el acceso de los empleados que desde entonces dejaron la compañía .

Aceptamos la carga de rotar 'contraseñas individuales', porque a) siempre comenzamos con el supuesto de que todas las cuentas que no son de tecnología ya han sido hackeadas. Y b) para "cerrar automáticamente" todas las cuentas que se hayan olvidado . Dado que el acceso a < centralizado establecer una nueva contraseña 'es el único que nunca olvidamos cerrar. ( caducidad a prueba de fallos de todas las dependencias de inicio de sesión único ) Esto también incluye el hardware (notebooks) que se entrega a un nuevo propietario y podría tener " contraseñas guardadas ".

( c) Además, hace que las personas se mantengan conscientes de dónde se guardan automáticamente sus contraseñas .)

( d) Además, podemos decirle a la gente que "cambie todas sus contraseñas" después de una pérdida de datos cuestionable. Eso solo funciona de manera confiable con los empleados que han sido entrenados para cambiar la contraseña .)

En resumen, la caducidad automática es una protección segura contra las personas que no se comportan como les pediste que hicieran.

Una lectura literal estricta de la pregunta lleva a la respuesta: aumenta la seguridad de manera negativa: ya sea a través de notas post-it o utilizando números crecientes o número de turno.

Sin embargo, podría reducir el riesgo de problemas legales derivados del cumplimiento.

Muchas respuestas ya indican que a menudo obligar a los usuarios a cambiar sus contraseñas no es útil; Me gustaría agregar la opinión de Bruce Schneier , probablemente el experto en seguridad más famoso.

Básicamente, dice que depende de lo que esa contraseña protege y de cómo se puede usar una contraseña robada. Esto suena obvio, pero no es obvio que entre la contraseña de Facebook y la de su banca en línea, sería mejor cambiar la primera. Así es: tiene más sentido cambiar su contraseña de Facebook en lugar de la contraseña de su banco. Veamos por qué.

Cambiar la contraseña con regularidad ayuda en caso de que alguien la haya encontrado y usted todavía no lo sepa, porque el atacante prefiere ser sigiloso. Dependiendo de la cuenta que hayan violado, puede o no tener sentido.

• En muchos casos, si el atacante descubre su contraseña, hará algo que seguramente notará. Por ejemplo, si puede acceder su cuenta bancaria, él va a transferir dinero de ella. Citando a Bruce: "En este caso, no tiene mucho sentido cambiar tu contraseña regularmente, pero es vital cambiarlo inmediatamente después del fraude ". La idea es que si nadie está robando dinero de su cuenta, probablemente significa que nadie ha encontrado su contraseña (por qué ¿esperarían, de lo contrario?), por lo que no hay razón para cambiarlo.

• En cambio, alguien que roba tu contraseña de Facebook puede usarla para espiarte. Por ejemplo, tu esposa puede usarla para verificar si tu tienes un amante. En este caso, no vas a notar la ataque , porque el atacante quiere poder seguir espiando usted, por lo que no van a publicar nuevos mensajes o cualquier cosa que sería notable. Aquí, cambiar su contraseña regularmente evitar que continúe.

Entonces, dados los diferentes escenarios de ataque, cambiar tu contraseña de Facebook es más útil que cambiar la contraseña de tu banco. Es bastante contrario a la intuición, pero tiene sentido.

El hardware perdido, extraviado o robado también puede ser un vector de ataque que brinde acceso a las contraseñas en el mejor de los casos.

El atacante puede robar un teléfono inteligente y recuperar las contraseñas de WiFi, en la mayoría de los lugares de la cuenta de usuario general.

Personalmente, no creo que imponer la caducidad de la contraseña en los usuarios de oficina (o personas poco familiarizadas con el uso de la computadora, por no hablar de la seguridad cibernética) es una buena idea en la forma en que se realiza en muchas organizaciones. Como se señaló anteriormente, la principal falla de seguridad en este caso es que esos mismos usuarios de oficina simplemente escriben sus contraseñas en notas adhesivas y las pegan en sus pantallas o las pegan en sus escritorios. O, si la persona es un poco más "avanzada", puede comenzar a usar contraseñas como letmeinMONTHYEAR .

No obstante, la caducidad periódica de las contraseñas es algo bueno, una vez que se combina con la administración adecuada de las contraseñas. Obviamente, la mayoría de las personas (no sabias) no podrán recordar contraseñas realmente seguras, algo como v^i77u*UNoMTYPGAm$ . Entonces, ¿qué debemos hacer?

Personalmente uso un administrador de contraseñas que rastrea todas mis contraseñas, excepto una, la contraseña maestra. Esto realmente simplifica las cosas y las hace mucho más seguras (siempre que mi contraseña maestra sea segura por sí misma y pueda contarla fácilmente para iniciar sesión en el administrador de contraseñas). Hay varios administradores de contraseñas comerciales, que le permitiré descubrir y probar. ustedes mismos. Personalmente uso Lastpass , que es gratuito para uso general y es seguro. Está disponible a través del navegador web y también se puede instalar como una aplicación en su teléfono inteligente o tableta. En cuanto a la seguridad de permitir que una solución de terceros administre todas sus contraseñas, confío en la investigación realizada por Steve Gibson. Puede ver la versión completa de la misma aquí .

Cuando sus usuarios son humanos, no necesariamente aumenta la seguridad.
Consulte la publicación de la FTC " Es hora de repensar obligatorio cambios de contraseña " por el tecnólogo en jefe Lorrie Cranor, en base a la investigación sobre cómo los humanos usan estos sistemas. (Cobertura del Washington Post aquí .)

También, como se explica en el blog de seguridad SANS , "Una de las pautas clave para cambiar el comportamiento es [centrarse] en el menor número de comportamientos que aborden el mayor riesgo". Los costos de requerir los cambios de contraseña se gastan mejor en enseñar a los usuarios a usar contraseñas seguras y únicas y / o administradores de contraseñas / autenticación multifactor. Además, los beneficios de los cambios de contraseña han disminuido ahora que los ataques pueden ocurrir y con frecuencia ocurren mucho más rápidamente que los largos y lentos ataques manuales que los cambios de contraseña podrían ayudar a eliminar.

Tendré la tendencia a aceptar que este es principalmente un requisito impulsado por el cumplimiento con, en el mejor de los casos, un aumento neto marginal en la seguridad (desafortunadamente, un costo sustancial en la pérdida de disponibilidad operacional, debido a que los usuarios legítimos se excluyen después de los 90 días, las comunicaciones de máquina a máquina fallan porque sus contraseñas caducaron y nadie las actualizó, llama al servicio de asistencia para resolver problemas de restablecimiento de contraseña, etc.).

Dicho esto, existen razones válidas para hacer cumplir una política de este tipo (aunque, estas justificaciones se ven considerablemente reducidas por el período de validez relativamente largo para una contraseña en particular ... después de todo, si un delincuente cibernético obtiene su contraseña para 90 días, hay mucho daño que él o ella puede hacer).

La mayor ventaja viene en el siguiente escenario:

1. Se te piratea o se compromete de alguna otra forma, y el ciberdelincuente descubre tu nombre de usuario y contraseña.

2. Sucede que está cerca del período de "umbral de cambio" (generalmente, al final del trimestre, y no creo que los ciber-delincuentes no lo sepan).

3. Debe cambiar su contraseña "antigua" (que tanto usted como el delincuente cibernético saben).

4. Sigues la política de la Compañía y cambias tu contraseña, lo que significa que ahora el ciberdelincuente vuelve a estar bloqueado. Él o ella puede intentar usar los mismos métodos que antes, para obtener acceso no autorizado a esta credencial también ... pero hacerlo puede ser molesto y llevar mucho tiempo.

El punto aquí es, "cambiar la contraseña de uno a algo nuevo", no es algo que un delincuente cibernético hará normalmente, porque desde su punto de vista (a menos que, por supuesto, el secuestro de la contraseña sea realmente un tipo ataque de denegación de servicio), cambiar la contraseña y bloquear al propietario legítimo (original) de la cuenta, alertará inmediatamente al usuario legítimo de que algo no está sucediendo.

Esto se debe al hecho de que los ciberdelincuentes generalmente secuestran miles de contraseñas a la vez; Cambiar todos estos, especialmente porque no pueden tener acceso a los sistemas de back-end configurados para permitir que los usuarios legítimos hagan esto, puede ser una tarea onerosa.

No se escribe nada de lo anterior, ignorando el hecho de que los ciberdelincuentes normalmente configurarán su propia cuenta privilegiada, en el momento en que obtienen acceso no autorizado a su sistema, o están destinados a ignorar las otras debilidades potenciales en el "obligatorio Cambio de contraseña de 90 días ", paradigma que prevalece en estos días. Piense en esta regla como un elemento (menor) en su estrategia de defensa en capas, y verá que tiene un lugar ... pero ciertamente no es algo en lo que deba confiar, para mantener a los malos fuera del juego.

Si se usan contraseñas razonablemente seguras, no se usa. Es posible que las contraseñas deban cambiarse regularmente si eventualmente se pueden descifrar si un atacante ha logrado extraer hashes de la base de datos. Sin embargo, la aplicación de cambios de contraseña parece una forma débil de seguridad cuando se recomienda a los usuarios que seleccionen contraseñas seguras, por ejemplo, basadas en frases de contraseña largas.

Sin estar informado sobre la seguridad de las contraseñas, la mayoría de los usuarios no elegirán contraseñas seguras, por lo que el límite de cambio de 90 días está diseñado para proteger estas cuentas. Como estos usuarios no entienden o no se preocupan por la seguridad de su cuenta, es probable que elijan otra contraseña débil posiblemente basada en su antigua (lo que significa que un atacante puede descifrar la antigua y luego usar variaciones de la misma en un ataque en línea) . El uso de la política de 90 días en combinación con la verificación de la similitud de la nueva contraseña con la anterior puede verse como una ayuda. Las contraseñas de otros usuarios serán más difíciles de descifrar, aunque si un atacante dedica suficiente tiempo, esto es completamente posible: cualquier contraseña con una fuerza de menos de 128 bits de entropía significa que tiene la posibilidad de que se craque finalmente, aunque a menos que un atacante está específicamente interesado en una cuenta particular, esto tiene una probabilidad muy baja de ocurrir.

Una posible razón para cambiar las contraseñas es que los usuarios a menudo guardan las contraseñas en lugares inseguros. Por ejemplo, la funcionalidad de autocompletado del navegador puede haber recordado la contraseña en la computadora de un amigo. Sin embargo, esto no es ni aquí ni allá.

Por eso se considera una buena práctica cambiarlos de vez en cuando. Los 90 días atienden al mínimo común denominador. Cualquier usuario que use contraseñas seguras generadas con un generador de contraseñas tendrá problemas mínimos para luego cambiar las suyas, por lo que esta política no debería causar problemas importantes. Puedo entender que los usuarios con muchas cuentas con esta política se sentirán molestos.

Una razón adicional para cambiar su contraseña a menudo es que los algoritmos de almacenamiento de contraseñas como bcrypt y otras funciones de derivación de claves tienen una recuento de iteraciones, que se puede aumentar para aumentar el factor de trabajo a medida que Ley de Moore se haga efectiva. La introducción de una nueva contraseña le da la oportunidad de volver a guardar el hash de la contraseña con más iteraciones, o de que se actualice todo el algoritmo de hash a medida que aumenta la postura de seguridad del sistema. Por ejemplo, si el sitio originalmente almacenaba contraseñas de texto claro, luego se migraba a SHA-1, luego a SHA-1 con sal, luego, finalmente, a bcrypt, el acto de cambiar la contraseña a menudo se usa como una oportunidad para actualizar el formato almacenado para este usuario dentro de la base de datos.

Tenga en cuenta que un cambio de contraseña no es técnicamente necesario, solo que muchos sistemas reescribirán la contraseña para el almacenamiento en este punto, sin embargo, también pueden hacerlo si inician sesión correctamente porque la contraseña de texto claro también estará disponible en este punto. Forzar un cambio de contraseña ayudará en estos casos, y también tiene la ventaja de que si hubiera alguna vulnerabilidad de fuga de contraseña no descubierta en el sitio (por ejemplo, inyección de SQL), la contraseña se habrá cambiado a algo más seguro, además del formato de hashing. actualizado. Tenga en cuenta que forzar un cambio de contraseña no ayuda a actualizar las cuentas inactivas, por lo que algunos estándares dictan que las cuentas inactivas se deshabilitan después de un período de tiempo (por ejemplo, PCI después de 90 días): si la contraseña también se almacena en algún formato en el DB También se recomienda que se borre en caso de que el usuario lo haya reutilizado en otro lugar y luego se filtre.