¿Qué es la rotación de contraseña y cómo hacerlo correctamente?

Hemos hablado de lo difícil que es crear una buena política de contraseña. Parte del problema radica en el hecho de que esta no es una tarea de establecer y olvidar. Las empresas deben adaptarse continuamente a los cambios en el panorama de amenazas en línea, y sus políticas de contraseña deben modificarse de acuerdo con las últimas tendencias y cambios. ¿Esto está sucediendo en la realidad?

Bueno, en 2016, el Instituto Nacional de Estándares y Tecnología (NIST), una agencia no reguladora que forma parte del gobierno de los EE. UU., Aconsejó a las empresas que no obliguen a sus empleados a cambiar sus contraseñas cada pocos meses. Esto fue exactamente lo contrario de lo que las empresas habían aconsejado anteriormente, pero el NIST dijo que había abundante evidencia de que el cambio obligatorio de contraseña está afectando negativamente la seguridad en línea de las personas. Muchos expertos aplaudieron el asesoramiento del NIST y continúan apoyándolo, pero a pesar de esto, incluso ahora, cerca de cuatro años después, algunas organizaciones todavía obligan a sus empleados a cambiar sus contraseñas regularmente.

Los cambios frecuentes de contraseña conducen a la rotación de la contraseña

El principal problema para obligar a las personas a cambiar sus contraseñas con frecuencia es que el estrés que les impone provoca errores que podrían tener graves consecuencias para su seguridad en línea. Todos ustedes saben lo difícil que es crear una contraseña segura, y solo pueden imaginar lo difícil que sería si necesita hacerlo de manera regular.

Debido a que es una carga tan pesada, las personas que necesitan cambiar sus contraseñas a menudo optan por ahorrarse el problema y realizar modificaciones simples a sus contraseñas existentes (por ejemplo, intercambiando "contraseña1" por "contraseña2"). Otra estrategia que la gente ha adoptado es crear una lista limitada de tres o cuatro contraseñas que rotan periódicamente.

Los expertos en seguridad pueden enumerar múltiples razones por las cuales la rotación de contraseñas es una mala idea. El usuario generalmente intenta memorizar las tres o cuatro contraseñas y, como resultado, las credenciales no son muy sólidas. Otro problema proviene del hecho de que de vez en cuando, las contraseñas se vuelven válidas. En teoría, si un pirata informático tiene una de las contraseñas que usted rota, puede probarla periódicamente en su cuenta y, eventualmente, obtendrá el momento adecuado y entrará con éxito.

El caso general contra los cambios periódicos de contraseña se debe al hecho de que los ciberdelincuentes no esperan que usted cambie su contraseña antes de intentar comprometer su cuenta, pero la naturaleza repetitiva con la que se cambian las credenciales en un escenario de rotación de contraseña hace que las personas que eligen Esta estrategia es especialmente vulnerable. Desafortunadamente, como ya mencionamos, a veces, las otras opciones son limitadas.

¿Qué puede hacer si la rotación de contraseña es la única opción?

Algunas organizaciones aún aplican cambios regulares de contraseña, lo que significa que la rotación de contraseña está muy activa y activa. Peor aún, hay empresas que no permiten el uso de un administrador de contraseñas, lo que puede eliminar la necesidad de rotar las contraseñas por completo.

Si no tiene otra opción que rotar una lista de contraseñas, al menos puede intentar mitigar los riesgos tanto como sea posible. Use una amplia variedad de caracteres y haga que las contraseñas sean lo más aleatorias posible. Al crear una mayor cantidad de contraseñas, limita aún más las posibilidades de un compromiso exitoso, pero debe asegurarse de que sean sustancialmente diferentes entre sí. Por último, pero no menos importante, comuníquese con la persona encargada de crear la política de contraseña en su empresa y dígale que sus ideas de un marco seguro son lamentablemente desactualizadas.