John Donegan, Analista Empresarial de ManageEngine, analiza en esta tribuna la importancia de gestionar las contraseñas que usamos, un número cada vez mayor debido al creciente uso de servicios en la nube.
Según la versión más reciente del marco de seguridad cibernética del NIST, ya no es aconsejable ordenar el cambio periódico de las contraseñas. Desde hace años varios líderes del sector, entre los que está Microsoft, han argumentado que el cambio obligatorio de las contraseñas es contraproducente para la seguridad de las mismas. Lorrie Cranor, Jefa Tecnológica de la Federal Trade Commission (FTC) y profesora de Ciencias de la computación de la Universidad Carnegie Mellon en Pittsburgh, Pensilvania, asegura que puede ser extremadamente perjudicial. Incluso el GCHQ (Government Communications Headquarters), la rama de comunicaciones del servicio secreto británico, argumenta que es malo tanto para la seguridad como para la productividad.
La regla general en 2020 es que sólo hay que obligar a los empleados a cambiar sus contraseñas si han tenido pruebas concluyentes de una brecha en la seguridad, y las grandes empresas están tomando nota. La línea oficial de Microsoft es: “Si una contraseña nunca ha sido robada, no hay necesidad de cambiarla”. Dicho esto, el gigante de la tecnología con sede en Seattle recomienda que las empresas utilicen la autenticación doble (2FA), a la vez que se aplican listas de contraseñas prohibidas y se exige a los empleados que utilicen contraseñas de cierta complejidad, longitud e historial. Mientras se apliquen estas protecciones, no es necesario ordenar cambios periódicos de contraseña. De hecho, exigir el cambio de las contraseñas puede hacer que la red sea menos segura.
Empleados crean contraseñas demasiado similares y las escriben en lugares no seguros
Para empezar, el empleado medio tiene una media de 191 contraseñas. Con tantas contraseñas para recordar, los empleados tienden a crear contraseñas similares cuando se ven obligados a cambiar sus contraseñas existentes, normalmente tan sólo cambian una letra o un número. Esto, en sí mismo, es peligroso, especialmente si ha habido una brecha en el pasado ya que facilita a los cibercriminales adivinar la nueva contraseña. Además, los frecuentes cambios obligatorios hacen que algunos empleados recurren a escribir las contraseñas en las notas adhesivas de sus escritorios o cuadernos, ambos fáciles de extraviar o ser copiadas.
Causa pérdidas de tiempo y exceso de trabajo, ambos innecesarios para el departamento de TI
Para estar seguros, hay consecuencias económicas asociadas con el cambio obligatorio de las contraseñas, ya que los empleados no pueden trabajar mientras esperan a que un administrador del sistema les ayude. Según un informe de Forrester de 2018, el costo promedio de un cambio de contraseña en una empresa es de 70 dólares.
Cameron Covert, director de Zoho, empresa desarrolladora de software de gestión, de eventos en EE.UU., comenta “todo el tiempo que gastas en cambiarla no estás trabajando. Como mínimo, te enfrentas a un tiempo de inactividad de al menos treinta minutos”.
El cambio de contraseñas se vuelve especialmente frustrante para los empleados que trabajan desde casa. Covert comenta, “cuando olvidas tu contraseña, tienes que llamar a tu administrador del sistema y muchos empleados ni siquiera saben cuál es su número. Además, no pueden acceder a su herramienta de chat interno, ya sea Cliq, Slack o Google Chat, por lo que no pueden enviar mensajes a su equipo de asistencia. Es un dolor de cabeza, especialmente si se trabaja desde casa”.
Afecta negativamente a la moral de los empleados
La mayor parte de los empleados piensan que los cambios frecuentes de contraseña son una pérdida de tiempo. Tom Phillips, director de operaciones de Zoho, comenta: “Entiendo la razón de los cambios de contraseña obligatorios, pero como usuario lo encuentro muy molesto. Además, pongo todas mis contraseñas en una hoja, así que, si alguien se hace con esa hoja, puede hacer lo que quiera con mi identidad. ”
Conclusión
Aunque el marco del NIST (National Institute of Standards and Technology) sugiere ahora que los cambios obligatorios son innecesarios, es importante señalar un dato importante: las contraseñas están aquí para quedarse a pesar de que el 81% de los ciberataques se deben a contraseñas comprometidas. Las contraseñas son, a nivel general, superiores a la información biométrica porque, a diferencia de los datos biométricos, las contraseñas o son completamente correctas o completamente incorrectas, no hay falsos positivos o negativos.
La información biométrica parcialmente correcta puede a veces desbloquear las cuentas; por ejemplo, los estudios han demostrado que las caras de algunos niños son lo suficientemente similares como para desbloquear las cuentas de sus padres. Además, ha habido varios casos de robo de datos de huellas dactilares, y una vez que esta información biométrica es robada se vuelve inútil, ya que no se puede cambiar.
Como deja claro la nueva política de contraseñas de Microsoft, la autenticación multifactorial es clave, y las contraseñas deben ser siempre de cierta longitud y complejidad. Si bien es sensato dejar de realizar cambios obligatorios de contraseñas, también es importante que las empresas refuercen la seguridad de sus cuentas de otras maneras.
Las herramientas que facilitan la administración de dispositivos móviles, la administración de accesos privilegiados y el restablecimiento remoto de contraseñas pueden reforzar la seguridad de las contraseñas de la empresa. También se pueden poner en marcha herramientas de supervisión de registros, que aseguren la detección a tiempo de cualquier actividad anómala. Al final es mejor deshacerse de los cambios de contraseña obligatorios y sustituirlo por otras iniciativas que refuercen de seguridad de contraseñas.