Una de las ideas sobre seguridad en la red más implantada es que cuanto más a menudo cambiemos nuestras contraseñas mejor. Pero Lorrie Cranor, Jefa Tecnológica de la Federal Trade Commission (FTC) y profesora de Ciencias de la computación de la Universidad Carnegie Mellon en Pittsburgh, Pensilvania, asegura que esto no es así.
Y así lo ha expresado en el blog de la FTC, donde ha hecho referencia a nuevas investigaciones llevadas acabo por la UNC, y que concluyen que cuando se le fuerza a las personas a cambiar de contraseña cada poco tiempo acaban tendiendo a poner poco empeño en buscar claves efectivas, lo que a la larga es un riesgo para la seguridad de cualquier empresa.
La tendencia a las 'transformaciones'
Según este estudio, al verse obligados a cambiar cada poco la gente "tiende a crear contraseñas que siguen patrones predecibles llamados 'transformaciones', en los que se utilizan números ascendentes, se cambian letras por símbolos que se les parezcan o se añaden, eliminan o se le cambia el orden a números o caracteres especiales."
Vamos, que más vale encontrar una contraseña robusta y mantenerla un buen tiempo que andar cambiando cada dos por tres y acabar con 12345, pa$$w0rds, contraseñas123, contraseñas!!! o 123contraseñas. Que de paso sea dicho, se parecen mucho a algunas de las integrantes de la lista de peores contraseñas del 2015 publicadas por SplashData en enero.
A esto hay que añadirle que el estudio demuestra que estos cambios apenas marcan la diferencia a la hora de proteger contra delincuentes que tienen acceso a grandes archivos de contraseñas con los que ayudarse a la hora de lanzar ataques offline. Por lo tanto, el beneficio no parece suficiente para compensar la molestia que supone tener que buscar contraseñas impredecibles y memorizarlas.
¿Por qué se sigue haciendo?
¿Pero si está demostrado científicamente que esto es así, por qué hay tantas empresas que siguen haciéndolo? ´ aclara en su post que esto es así sobre todo por dos razones. La primera es que los profesionales del IT tienen vidas, por lo que no tienen tiempo a estar leyendo todos y cada uno de los artículos académicos que se publican.
La otra razón tiene que ver con la percepción. Muchos profesionales le han comentado a la Jefa Tecnológica de la FTC que cambiar esta práctica puede hacer que a la gente le parezca que se está cuidando menos la seguridad, y eliminar este requerimiento les obligaría a dar muchas explicaciones a los menos dados a la materia.
Pero Cranor no quiere dar a entender que deberíamos dejar de cambiar de contraseñas, y aconseja hacerlo cada vez que pienses que te la pueden haber robado, si tienes tus cuentas tienen la misma o parecidas, si compartes una con algún amigo, si crees que puedes haberla introducido en una web de phising o simplemente si crees que tu contraseña actual es débil.
A nivel empresarial también hay dos consejos. Por una parte que si se tiene una buena contraseña se pueden hacer ciclos de cambio de entre seis meses y un año en vez de mensuales, lo que seguro que es más cómodo de los usuarios, o que simplemente se utilicen administradores de contraseñas como pueden ser LastPass, 1Password o DashLane.
Vía | FTC
Imágenes | Giphy y YouTube
En Genbeta | ¿Cuánto tiempo lleva siendo 123456 la peor contraseña posible y por qué nunca lograremos eliminarla?
También te recomendamos
Cómo buscar en Google: 17 trucos para ser un profesional
La FTC sentencia que Oracle tendrá que advertir de los peligros de Java en su propia web
-
La noticia ¿Cambiar de contraseña cada dos por tres? Mala idea si buscas más seguridad fue publicada originalmente en Genbeta por Yúbal FM .
via Genbeta http://ift.tt/1Rb7Iof
No hay comentarios:
Publicar un comentario