Esta pregunta es bastante básica, pero me molesta y estoy seguro de que también afecta a muchas otras personas.
¿Cuál es el beneficio de seguridad real para forzar a los usuarios a cambiar su contraseña, por ejemplo cada 60 días o cada 90 días?
Beneficios
- Las credenciales comprometidas son inútiles después de un corto período de tiempo.
Drawbacks
- El usuario recurre a esquemas de incremento de contraseña fáciles de recordar: password1 , password2 , passwordN .
- El usuario está obligado a exponer contraseñas en otros medios para recuperarlas: post-it , otros dispositivos, etc.
- El usuario debe hacer referencia a las contraseñas expuestas que aumentan los vectores para el ataque, en comparación con una contraseña recuperada de la memoria.
Parece que hay más inconvenientes que beneficios, ¿por qué es tan frecuente esta práctica de seguridad?
Actualización del artículo de la FTC que comparte algunas de mis preocupaciones:
Los investigadores de Carleton también señalan que un atacante que ya sabe que es poco probable que la contraseña de un usuario se vea frustrada por una contraseña cambio. Como demostraron los investigadores de la UNC, una vez que un atacante conoce una contraseña, a menudo son capaces de adivinar la siguiente contraseña del usuario bastante fácilmente. Además, un atacante que haya obtenido acceso a un usuario Una vez, la cuenta puede ser capaz de instalar un registrador de claves u otro malware que les permitirá continuar accediendo al sistema, incluso si el usuario cambia su contraseña.
Del mismo modo, comparten la misma hipótesis.
Si bien aún no tenemos un estudio controlado que demuestre el impacto de las políticas de caducidad de las contraseñas en el comportamiento de los usuarios, existe bastante evidencia que sugiere que estas políticas pueden ser contraproducentes.
Enlace: Es hora de repensar los cambios de contraseña obligatorios