sábado, 12 de marzo de 2016

¿Cambiar de contraseña cada dos por tres? Mala idea si buscas más seguridad

20160311 110425

Una de las ideas sobre seguridad en la red más implantada es que cuanto más a menudo cambiemos nuestras contraseñas mejor. Pero Lorrie Cranor, Jefa Tecnológica de la Federal Trade Commission (FTC) y profesora de Ciencias de la computación de la Universidad Carnegie Mellon en Pittsburgh, Pensilvania, asegura que esto no es así.

Y así lo ha expresado en el blog de la FTC, donde ha hecho referencia a nuevas investigaciones llevadas acabo por la UNC, y que concluyen que cuando se le fuerza a las personas a cambiar de contraseña cada poco tiempo acaban tendiendo a poner poco empeño en buscar claves efectivas, lo que a la larga es un riesgo para la seguridad de cualquier empresa.

La tendencia a las 'transformaciones'

Según este estudio, al verse obligados a cambiar cada poco la gente "tiende a crear contraseñas que siguen patrones predecibles llamados 'transformaciones', en los que se utilizan números ascendentes, se cambian letras por símbolos que se les parezcan o se añaden, eliminan o se le cambia el orden a números o caracteres especiales."

Vamos, que más vale encontrar una contraseña robusta y mantenerla un buen tiempo que andar cambiando cada dos por tres y acabar con 12345, pa$$w0rds, contraseñas123, contraseñas!!! o 123contraseñas. Que de paso sea dicho, se parecen mucho a algunas de las integrantes de la lista de peores contraseñas del 2015 publicadas por SplashData en enero.

A esto hay que añadirle que el estudio demuestra que estos cambios apenas marcan la diferencia a la hora de proteger contra delincuentes que tienen acceso a grandes archivos de contraseñas con los que ayudarse a la hora de lanzar ataques offline. Por lo tanto, el beneficio no parece suficiente para compensar la molestia que supone tener que buscar contraseñas impredecibles y memorizarlas.

¿Por qué se sigue haciendo?

Maxresdefault

¿Pero si está demostrado científicamente que esto es así, por qué hay tantas empresas que siguen haciéndolo? ´ aclara en su post que esto es así sobre todo por dos razones. La primera es que los profesionales del IT tienen vidas, por lo que no tienen tiempo a estar leyendo todos y cada uno de los artículos académicos que se publican.

La otra razón tiene que ver con la percepción. Muchos profesionales le han comentado a la Jefa Tecnológica de la FTC que cambiar esta práctica puede hacer que a la gente le parezca que se está cuidando menos la seguridad, y eliminar este requerimiento les obligaría a dar muchas explicaciones a los menos dados a la materia.

Pero Cranor no quiere dar a entender que deberíamos dejar de cambiar de contraseñas, y aconseja hacerlo cada vez que pienses que te la pueden haber robado, si tienes tus cuentas tienen la misma o parecidas, si compartes una con algún amigo, si crees que puedes haberla introducido en una web de phising o simplemente si crees que tu contraseña actual es débil.

A nivel empresarial también hay dos consejos. Por una parte que si se tiene una buena contraseña se pueden hacer ciclos de cambio de entre seis meses y un año en vez de mensuales, lo que seguro que es más cómodo de los usuarios, o que simplemente se utilicen administradores de contraseñas como pueden ser LastPass, 1Password o DashLane.

Vía | FTC
Imágenes | Giphy y YouTube
En Genbeta | ¿Cuánto tiempo lleva siendo 123456 la peor contraseña posible y por qué nunca lograremos eliminarla?

También te recomendamos

iOS 6 eliminará la solicitud de contraseña al descargar aplicaciones gratuitas, pero... ¿es adecuado?

Cómo buscar en Google: 17 trucos para ser un profesional

La FTC sentencia que Oracle tendrá que advertir de los peligros de Java en su propia web

-
La noticia ¿Cambiar de contraseña cada dos por tres? Mala idea si buscas más seguridad fue publicada originalmente en Genbeta por Yúbal FM .




via Genbeta http://ift.tt/1Rb7Iof

No hay comentarios:

Publicar un comentario