Por qué no necesitas cambiar las contraseñas cada poco

La audiencia en la reciente conferencia de NetEvents en San José se puso alerta cuando Ted Ross, CEO de Spycloud, les dijo que dejaran de cambiar sus contraseñas tan a menudo. De hecho, dijo Ross, las contraseñas deben dejarse en paz a menos que se sepa que han sido hackeadas. La razón, explicó, es porque la gente tiende a elegir contraseñas que son fáciles de recordar, lo que significa que son fáciles de adivinar.
En una entrevista posterior, Ross dijo que la gente tiende a usar variantes de la misma contraseña antigua cuando se les pide que piensen en una nueva. "Lo que hemos encontrado es que hay tantas contraseñas que todos los delincuentes necesitan encontrar una contraseña antigua", dijo Ross. "La gente cambia sus contraseñas por algo que ya ha sido expuesto."
Esto significa que es probable que su antigua contraseña ya esté disponible en la web oscura y que se pueda utilizar como punto de partida para probar variantes. Si hay varias contraseñas en la web oscura, los hackers pueden ver los patrones de cómo se cambian las contraseñas, lo que simplifica considerablemente su trabajo. Cuantas más veces cambie una contraseña, explicó, mayor será la probabilidad de que se descubran una o más de esas contraseñas antiguas.
Esto se ve exacerbado por el número de sitios para los que necesita tener contraseñas. "El usuario medio tiene más de 200 sitios a los que conectarse", dijo Ross. "Nadie puede recordar 200 contraseñas."
Difícil de recordar 200 contraseñas
Cuando se enfrentan a la tarea de recordar esas 200 contraseñas, lo que la mayoría de la gente hace es simplemente usar la misma contraseña para sitios que consideran no críticos, o usar variaciones de la misma contraseña para algunos de ellos para que puedan recordar lo que son. Por lo tanto, es posible que encuentre una secuencia como esta: Password, Pa55word, Passw0rd, luego Password!
Esto es también lo que sucede cuando se pide a las personas que cambien sus contraseñas de forma regular, por ejemplo cada 90 días. "Hace décadas nos preocupaba que un criminal intentara acceder a su cuenta", explicó Ross. "Si fueran lo suficientemente inteligentes para mantenerse bajo tu nivel de fuerza bruta, podrían seguir intentándolo."
El nivel de fuerza bruta se refiere al número de intentos que puede realizar antes de que se bloquee su acceso a un sitio. La mayoría de los sitios tienen un número de al menos tres para permitir a los mecanógrafos a mano. Algunos permiten más intentos, y otros no tienen límites en los intentos fallidos con contraseñas.
Dependiendo de la complejidad de una contraseña dada, la facilidad para descifrarla varía significativamente. Un buen atacante con el software adecuado puede descifrar una contraseña que es corta y utiliza palabras existentes en pocos minutos. Una contraseña que tiene 99 caracteres y que consiste enteramente en caracteres aleatorios puede requerir más tiempo que la edad esperada del universo. Pero si está reutilizando la misma contraseña con pequeñas variaciones, entonces descifrarla puede ser mucho más rápido y fácil. Una vez que el atacante conoce las cadenas específicas de caracteres que normalmente están en sus contraseñas, puede decirle a su software por dónde empezar.
¿Por qué considerar un administrador de contraseñas?
La respuesta obvia para tratar con estas contraseñas tan complejas es usar un administrador de contraseñas. Un buen administrador trabajará con todas las plataformas en uso en su organización, incluidos los ordenadores Windows y Macintosh y los teléfonos y tabletas Apple y Android. Debe ser capaz de compartir contraseñas entre sus dispositivos, y debe ser capaz de generar contraseñas complejas y guardarlas en los sitios donde las necesite.
Y, por supuesto, hay más. El administrador de contraseñas debe ser capaz de verificar su contraseña contra la lista de millones de contraseñas expuestas en la web oscura, y debe acomodar los límites de las contraseñas en algunos sitios que sólo permiten un número específico de caracteres, o que restringen la complejidad de las contraseñas mediante la prohibición de caracteres o números especiales.
Ross señaló que SpyCloud mantiene una base de datos de contraseñas expuestas que se actualizan casi en tiempo real, por lo que las contraseñas se pueden comprobar allí antes de que se cambien. También señaló que dos administradores de contraseñas, Dashlane y Keeper, comprueban automáticamente las contraseñas con la base de datos de SpyCloud.
Es importante tener en cuenta que hay pasos más allá de las contraseñas que le ayudarán a asegurar su acceso a un sitio. Lo más común es utilizar la autenticación de dos factores, de modo que incluso si alguien que intenta acceder a un sitio tiene su contraseña, también debe pasar otra prueba de autenticación que va fuera de la conexión a Internet.
Incluso la autenticación de dos factores puede ser hackeada
Ya ha visto el tipo de autenticación de dos factores que utiliza un mensaje de texto enviado a su dispositivo móvil. Aunque esto es mejor que nada, este tipo de 2FA puede ser hackeado. Un tipo mejor utiliza una aplicación de autenticación en su teléfono, o un dispositivo físico como una tarjeta inteligente o una llave de seguridad USB.
La biométrica también es un medio importante de acceso a la seguridad, pero depende de un dispositivo de hardware que puede ser difícil de implementar en la empresa, con la excepción de los dispositivos con la capacidad incorporada, como el Face ID de Apple o uno de los varios lectores de huellas dactilares de los dispositivos Android. Aunque es posible engañar a los lectores de huellas dactilares o faciales, se necesitan recursos significativos para lograrlo, lo que significa que el atacante probablemente cuenta con el respaldo de un estado nacional, lo que está fuera del ámbito de la mayoría de los problemas de acceso a la seguridad.
"Es un ejercicio de probabilidad", explica Ross. El objetivo es reducir la probabilidad de que un atacante pueda averiguar su contraseña y acceder a su cuenta.