El restablecimiento de contraseñas puede ser frustrante para los usuarios finales. A nadie le gusta que lo interrumpa la notificación «Es hora de cambiar su contraseña», y menos aún cuando las nuevas contraseñas que crea son rechazadas por la política de contraseñas de su organización. Los equipos de TI comparten el dolor, ya que restablecer contraseñas a través de tickets de soporte técnico y llamadas de soporte es una carga diaria. A pesar de esto, se acepta comúnmente que todas las contraseñas deben caducar después de un período de tiempo determinado.

¿Por qué es así? ¿Es necesario que las contraseñas caduquen? Descubre por qué existen las caducidades y por qué configurar las contraseñas para que «nunca caduquen» puede ahorrarte algunos dolores de cabeza, pero no ser la mejor idea para la ciberseguridad.

¿Por qué tenemos vencimientos de contraseñas?

La política tradicional de restablecimiento de contraseñas a los 90 días surge de la necesidad de protegerse contra ataques de fuerza bruta . Las organizaciones suelen almacenar las contraseñas como hashes, que son versiones codificadas de las contraseñas reales creadas mediante funciones hash criptográficas (CHF). Cuando un usuario ingresa su contraseña, se codifica y se compara con el hash almacenado. Los atacantes que intentan descifrar estas contraseñas deben adivinar la correcta ejecutando las contraseñas potenciales a través del mismo algoritmo hash y comparando los resultados. El proceso puede complicarse aún más para los atacantes mediante técnicas como el salting, donde se agregan cadenas aleatorias a las contraseñas antes del hash.

Los ataques de fuerza bruta dependen de varios factores, entre ellos la potencia computacional disponible para el atacante y la solidez de la contraseña. El período de restablecimiento de 90 días se consideró un enfoque equilibrado para superar los ataques de fuerza bruta sin cargar a los usuarios con cambios demasiado frecuentes. Sin embargo, los avances tecnológicos han reducido el tiempo necesario para descifrar contraseñas, lo que ha motivado una reevaluación de esta política. A pesar de esto, el vencimiento de 90 días sigue siendo una recomendación en muchas normas de cumplimiento, incluida la PCI.

¿Por qué algunas organizaciones han eliminado los vencimientos?

Uno de los principales argumentos en contra de la caducidad habitual de las contraseñas es que puede dar lugar a la reutilización de contraseñas débiles. Los usuarios suelen realizar pequeños cambios en sus contraseñas existentes, como cambiar «Contraseña1!» por «Contraseña2!». Esta práctica socava los beneficios de seguridad de los cambios de contraseña. Sin embargo, el verdadero problema aquí no es el acto de restablecer las contraseñas, sino más bien la política de la organización que permite las contraseñas débiles en primer lugar.

La principal razón por la que las organizaciones han optado por contraseñas que «nunca caducan» es la reducción de la carga de trabajo del departamento de TI y del servicio de asistencia. El coste y la carga que supone restablecer contraseñas en los servicios de asistencia de TI son significativos. Gartner estima que entre el 20 y el 50 % de las llamadas al servicio de asistencia de TI están relacionadas con el restablecimiento de contraseñas, y que cada restablecimiento cuesta unos 70 dólares en mano de obra, según Forrester. Esto se acumula, especialmente cuando los usuarios olvidan con frecuencia sus contraseñas después de verse obligados a crear otras nuevas.

Por lo tanto, algunas organizaciones pueden verse tentadas a obligar a los usuarios finales a crear una contraseña muy segura y luego configurarla para que «nunca caduque» a fin de reducir la carga de TI y los costos de restablecimiento.

¿Cuáles son los riesgos de las contraseñas que nunca caducan?

Tener una contraseña segura y no cambiarla nunca puede dar a alguien una falsa sensación de seguridad. Una contraseña segura no es inmune a las amenazas; puede ser vulnerable a esquemas de phishing, filtraciones de datos u otros tipos de incidentes cibernéticos sin que el usuario se dé cuenta. El informe Specops Breached Password Report descubrió que el 83 % de las contraseñas que se vieron comprometidas cumplían con los estándares regulatorios de longitud y complejidad.

Una organización puede tener una política de contraseñas seguras en la que cada usuario final se ve obligado a crear una contraseña segura que sea resistente a ataques de fuerza bruta. Pero, ¿qué sucede si el empleado decide reutilizar su contraseña para Facebook, Netflix y todas las demás aplicaciones personales también? El riesgo de que la contraseña se vea comprometida aumenta mucho, independientemente de las medidas de seguridad internas que tenga implementadas la organización. Una encuesta realizada por LastPass descubrió que el 91 % de los usuarios finales comprendía el riesgo de reutilizar contraseñas, pero el 59 % lo hacía de todos modos.

Otro riesgo de las contraseñas que «nunca caducan» es que un atacante podría utilizar un conjunto de credenciales comprometidas durante un largo período de tiempo. El Instituto Ponemon descubrió que, por lo general, una organización tarda unos 207 días en identificar una infracción . Si bien imponer la caducidad de las contraseñas podría ser beneficioso en este caso, es probable que un atacante ya haya logrado sus objetivos cuando la contraseña caduque. En consecuencia, el NIST y otras directrices recomiendan a las organizaciones que solo establezcan contraseñas que nunca caduquen si tienen mecanismos para identificar cuentas comprometidas.

Cómo detectar contraseñas comprometidas

Las organizaciones deben adoptar una estrategia integral de contraseñas que vaya más allá de la caducidad habitual. Esto incluye orientar a los usuarios para que creen frases de contraseña seguras de al menos 15 caracteres. Una política de este tipo puede reducir significativamente la vulnerabilidad a los ataques de fuerza bruta. También se puede alentar a los usuarios finales a crear contraseñas más largas mediante el envejecimiento basado en la longitud, en el que se permite el uso de contraseñas más largas y seguras durante períodos prolongados antes de que caduquen. Este enfoque elimina la necesidad de un tiempo de caducidad único para todos, siempre que los usuarios respeten la política de contraseñas de la organización.

Sin embargo, incluso las contraseñas seguras pueden verse comprometidas y es necesario implementar medidas para detectarlo. Una vez que se han visto comprometidas, el tiempo de descifrado de una contraseña que aparece en la parte inferior derecha de la tabla anterior pasa a ser «instantáneo». Las organizaciones necesitan una estrategia coordinada para asegurarse de que están protegidas tanto de las contraseñas débiles como de las comprometidas.

Si está interesado en gestionar todo lo anterior de forma automatizada desde una interfaz sencilla de usar dentro de Active Directory, Specops Password Policy podría ser una herramienta valiosa en su arsenal de ciberseguridad. A través de su servicio de protección de contraseñas vulneradas, Specops Password Policy puede comprobar y bloquear continuamente el uso de más de 4 mil millones de contraseñas únicas conocidas que han sido comprometidas. Compruébelo usted mismo con una demostración en vivo.

Fuente y redacción: thehackernews.com

Compartir