Desde que existe la TI empresarial, los usuarios deben cambiar sus contraseñas con regularidad. La necesidad de cambios planificados de contraseña puede ser, de hecho, una de las mejores prácticas de TI más antiguas.

Recientemente, sin embargo, las cosas han comenzado a cambiar. Microsoft ha revertido el curso de las mejores prácticas que ha utilizado durante décadas y ya no recomienda que las organizaciones soliciten a los usuarios que cambien sus contraseñas con regularidad. Las organizaciones se ven obligadas a considerar, quizás por primera vez, si es una buena idea solicitar cambios regulares de contraseña.

Recomendaciones de restablecimiento de contraseña de Microsoft

Exigir a los usuarios que cambien las contraseñas con frecuencia hace más daño que bien, según Microsoft.

Las personas son notoriamente resistentes al cambio. Cuando un usuario se ve obligado a cambiar su contraseña, a menudo crea una nueva contraseña basada en su contraseña anterior. Por ejemplo, un usuario puede agregar un número al final de su contraseña y luego incrementar ese número cada vez que se requiere una contraseña. De manera similar, si se requieren cambios de contraseña mensuales, el usuario puede incluir el nombre del mes en la contraseña y luego cambiar el mes cada vez que se requiera un cambio de contraseña (por ejemplo, MyM @ rchP @ ssw0rd).

Aún más preocupante, los estudios han demostrado que a menudo es posible adivinar la contraseña actual de un usuario si conoce su contraseña anterior. En uno de esos estudios, los investigadores descubrieron que podían adivinar el 41% de las contraseñas actuales de un usuario en tres segundos si conocían la contraseña anterior del usuario.

Si bien los cambios de contraseña forzados pueden causar problemas, los problemas también pueden hacer que los usuarios no cambien sus contraseñas. En la actualidad, una organización tarda una media de 207 días en detectar una infracción (Ponemon Institute, 2020). Con esto en mente, considere cuánto tiempo puede llevar identificar una intrusión si los usuarios no tienen que cambiar sus contraseñas.

Un ciberdelincuente que obtuvo acceso al sistema a través de una contraseña robada podría evitar la detección indefinidamente.

En lugar de simplemente abandonar la práctica de solicitar cambios regulares de contraseña, es mejor abordar los problemas fundamentales que tienden a debilitar la seguridad de una organización.

El mayor problema con los cambios de contraseña requeridos es que la caducidad frecuente de la contraseña hace que los usuarios elijan contraseñas débiles o contraseñas que están relacionadas de alguna manera con su contraseña anterior. Una forma de evitar este problema es recompensar a los usuarios por elegir contraseñas seguras.

Algunas herramientas de administración de contraseñas de terceros, como la Política de contraseñas de Specops, pueden basar la frecuencia de restablecimiento de la contraseña de un usuario en la longitud y la complejidad de la contraseña del usuario. Por lo tanto, los usuarios que eligen contraseñas seguras no tendrán que cambiar estas contraseñas con tanta frecuencia como los usuarios que eligen una contraseña más débil.

Además, las organizaciones deben buscar soluciones de gestión de contraseñas que les permitan impedir que los usuarios utilicen contraseñas que se sabe que han sido comprometidas. Las contraseñas comprometidas son contraseñas que han sido descifradas y añadidas a tablas de arco iris o bases de datos similares, lo que hace que sea extremadamente fácil para un atacante descifrar una contraseña, independientemente de su complejidad.

Aunque hay proveedores externos que mantienen listas en la nube de contraseñas que se sabe que están comprometidas, es importante comprender que la Lista global de contraseñas prohibidas de Microsoft no es una lista de fugas de contraseñas y no cumple con las recomendaciones de cumplimiento de denegación de contraseñas. lista.

El segundo problema que a menudo se atribuye a las solicitudes de cambio de contraseña es que los usuarios que se ven obligados a cambiar sus contraseñas a menudo tienen más probabilidades de olvidar sus contraseñas. Esto conduce al bloqueo de cuentas y llamadas al servicio de asistencia. La mejor manera de evitar este problema (mientras se reducen los costos de la mesa de ayuda) es adoptar una solución de restablecimiento de contraseña de autoservicio que permita a los usuarios restablecer sus propias contraseñas de manera segura.

En el futuro, es posible que las organizaciones que deseen solicitar cambios de contraseña no tengan más remedio que adoptar una solución de administración de contraseñas de terceros. Microsoft elimina la configuración de la política de caducidad de contraseñas de Windows, a partir de la versión 1903.

A pesar de las recomendaciones opuestas, existen beneficios de seguridad que requieren que los usuarios cambien sus contraseñas regularmente. Sin embargo, es crucial implementar dicho requisito de una manera que no debilite inadvertidamente la seguridad de la organización. Con una solución de contraseñas de Specops Software, las organizaciones pueden bloquear más de 2 mil millones de contraseñas rotas. La solución puede ayudar a las organizaciones a proteger las contraseñas cuando se aplican vencimientos frecuentes de contraseñas.