¿Por qué el cambio periódico de contraseña es a menudo una mala idea?

Presentaré las razones que en mi opinión con mayor frecuencia justifica el abandono puro y simple de esta antigua promoción del NIST (Instituto Nacional de Estándar y Tecnologías). Rápidamente volveremos a esta recomendación, entonces, en el estado del arte actual y mis argumentos para al final, rechazan casi sistemáticamente esta medida.

Cambio de contraseña periódica?

Si usted El trabajo en una cuenta grande, tuvo cursos informáticos o participó en sesiones de sensibilización, seguramente ha escuchado a la vez que tenías que cambiar tus contraseñas cada 90 días. Esta recomendación proviene del NIST que en ese momento había defendido un cambio sistemático de contraseñas cada 90 días.

Esta recomendación aún está bien anclada en mucha organización especialmente en Francia. Atención No digo que estas organizaciones lo hagan mal, la idea va a explicar que si desea aplicar adecuadamente esta antigua recomendación, tendrá que implementar muchas cosas.

hoy ‘, ¿qué pasa? ¿El cambio periódico de contraseña?

Para hacer que el NIST sea simple ahora recomiende que no obligue a los usuarios a editar una contraseña periódicamente y sistemáticamente. De hecho, en una última publicación que le invito a consultar (en inglés), el NIST en el párrafo 5.1.1.2 considera que continúan un cambio periódico es una mala idea (consulte el artículo: https://pages.nist.gov/ 800-63 -3 / SP800-63B.HTML # MEMSECRETVER). La recomendación ya no es hacer un cambio periódico, pero cuando tiene una contraseña sospechosa de la contraseña debido a un error de piratería o configuración.

Si usa la ‘aplicación de verificación de seguridad OWASP 2.1.10 es solo Como equívoco:

Verifique que no haya requisitos de historial de contraseñas de la contraseña de rotación de credenciales periódicas

¿Por qué imponer un cambio periódico de contraseña es complicado?

Esta es una de las razones por las que el NIST regresó a esta recomendación, estudiando y analizando esta práctica en varias organizaciones, la observación fue la siguiente: «El cambio periódico para usar a los usuarios puede variar su contraseña a tiempo y, finalmente, debilitar la fuerza de este último».

De hecho, muchos usuarios han estado contentando «. Agregue números después de sus contraseñas básicas, que dirán que es una mala práctica eso.

Si desea aplicar esta medida correctamente, debe ser capaz de decir que esta contraseña ya ha sido utilizada por usted, o que está demasiado cerca de una contraseña que tenga ya usado. Y el simple almacenamiento de esta información sigue siendo mayor, porque para hacer estas detecciones le obligaría a almacenar las contraseñas de manera descifreable.

De hecho, no debe mantener una impresión de contraseña, pero la contraseña cifrada es evidente.. Como resultado, le gustaría decir que sería posible en caso de piratería de dicha base de datos y su clave de descifrado para recuperar la cantidad de contraseña en claro.

Por estas razones. Lo han entendido, Es difícil si es imposible, respetando el estándar actual para aplicar efectivamente esta medición. De hecho, sin poder comparar su nueva contraseña con al menos el anterior, consulte varios ancianos, y diga que Azerty2 y demasiado similar a Azerty1, que es su contraseña anterior o que 123456 y demasiado similar a 654321, no puede mejorar efectivamente su Seguridad con esta recomendación. Del mismo modo, si no puede comparar su primera contraseña.

Usted está seguro de que está incentivo de la seguridad de sus cuentas.

Conclusión

Espero que tenga que resaltar Por qué esta vieja recomendación debe desaparecer como paisaje de gestión de contraseñas. Es importante entender que tal medida para ser efectiva solicitaría poner en marcha mecánicos tanto complejos, sino especialmente a veces demasiado peligrosos.

Esto no me inventa solo y no es francamente. Unanimidad, pero con ¡El tiempo progresará!

Crédito de la foto: computadora de vector creado por upklyak – en.freepik.com

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *