Posiblemente hayas escuchado que Microsoft ha decidido eliminar su política de caducidad de contraseñas. Lo relata en una entrada de blog publicada en mayo de 2019 en la que anuncia la versión final de la línea base de configuración de seguridad para Windows 10 versión 1903 y para Windows Server 1903.
Los expertos en ciberseguridad ya saben que una persona normal tiene una contraseña fácil de escribir y recordar y, por lo tanto, fácil de adivinar para un ordenador. Y obligarlos a cambiar la contraseña cada pocos meses no cambia el hecho de que su contraseña es fácil de adivinar. Los ordenadores modernos pueden forzar una contraseña alfanumérica de ocho caracteres en horas. Cambiar uno o dos caracteres en esa contraseña de ocho caracteres no va a hacer que sea más difícil.
Entonces, la pregunta es: ¿Debo seguir las instrucciones de Microsoft y eliminar la política de caducidad de contraseña? Bueno, no es tan simple.
Las políticas de caducidad de contraseña son solo un ladrillo en su muro de seguridad. No se debe sacar uno a menos que haya defensas que puedan compensarlo. Hay que considerar los factores de riesgo para su organización y desarrollar una estrategia de ciberseguridad para mitigarlos.
¿Por qué eliminar las políticas de caducidad de contraseña?
El argumento de Microsoft es que la caducidad de la contraseña es una medida de seguridad de bajo valor y poco práctica. Por lo tanto, ya no recomiendan una política de caducidad de contraseña como parte de la línea base de seguridad cibernética de Microsoft.
Microsoft no está diciendo que desactivemos todas sus políticas de caducidad de contraseña ahora mismo ni proponen requisitos cambiantes para la longitud mínima de la contraseña, el historial o la complejidad. Nos explican que necesitamos algo más que una política de caducidad de contraseña en la estrategia.
¿Debo eliminar mi política de caducidad de contraseña?
La mayoría de las organizaciones deberían mantener su política de caducidad de contraseña actual por ahora pero, ¿qué sucede cuando se roba la contraseña de un usuario?
Las políticas de contraseña ayudan a mitigar el afán de un atacante en la red de traspasar nuestro muro. Cuanto más corta es la política de caducidad de la contraseña, menos tiempo necesita para comprometer los sistemas y extraer datos (si el atacante no ha establecido otro punto de entrada). Microsoft cree que estas mismas políticas de contraseña diseñadas para eliminar las credenciales comprometidas en realidad fomentan las malas prácticas, como las contraseñas reutilizadas, la repetición de contraseña, contraseñas en post-it y muchas otras.
En resumen, creen que el riesgo introducido por las prácticas de contraseña incorrecta es mayor que el mitigado por las políticas de caducidad de contraseña. Este cambio de seguridad de alta usabilidad es fácil de abordar, pero podría terminar aumentando el perfil de riesgo si carece de otras mejores prácticas de la industria, tales como:
- Frases de contraseña: La aplicación de contraseñas largas (16 caracteres o más) y complejas dificulta la fuerza bruta. La antigua contraseña mínima estándar de ocho caracteres se puede descifrar en cuestión de horas por parte de las computadoras modernas.
- Modelo con el menor privilegio: En un mundo donde la persistencia no caduca, es crucial saber que los usuarios tienen acceso a la menor cantidad de datos posible.
- Monitorización de comportamiento: Se debe poder detectar cuándo una cuenta se ha visto comprometida en función de las desviaciones en el inicio de sesión normal y la actividad de acceso a datos. El análisis estático solo no será suficiente.
- Autenticación multifactorial: Incluso si un atacante tiene el nombre de usuario y la contraseña, la autenticación multifactorial actúa como un obstáculo importante para el pirata informático promedio.
¿Morirán finalmente las contraseñas?
Algunas tecnologías buscan reemplazar las contraseñas como el protocolo de autenticación primario. Por ejemplo, FIDO2 almacena datos de identidad en un dispositivo físico. La biometría también es una opción.
El nuevo reto parecen ser los métodos de autenticación que no pueden compartirse accidentalmente o robarse fácilmente. Hasta ahora, esas tecnologías no han penetrado en el grueso empresarial pyme.
Hasta entonces, hay que considerar mantener la política de caducidad de contraseña en su lugar y los usuarios serán molestados un poco, por el bien común.