¿Se debería forzar a los usuarios a cambiar sus contraseñas?
Jeremy D’Hoinne, director de producto de Netasq, analiza en este artículo si el cambio de contraseñas es el único remedio eficaz contra las brechas de seguridad.
Los seis millones de contraseñas robadas el pasado mes de junio en LinkedIn, pusieron una vez más en primera plana la seguridad de las mismas. Y es que a pesar de que una de las prácticas más recomendadas por los CSOs para evitar situaciones como la que afectó a esta red social, es forzar a los usuarios a cambiar sus contraseñas cada 60 o 90 días como máximo, esta medida es entendida como “demasiado restrictiva” por muchos de ellos. Ahora bien, ¿es este el único remedio eficaz?
El objetivo de un acceso autenticado es asegurar que sólo la persona autorizada puede alcanzar un recurso particular. Igualmente, el propósito de modificar la contraseña de un usuario cada 90 días es restringir la oportunidad de piratear la propia identidad, ya que está comprobado que un programa bien desarrollado puede adivinar una contraseña –a partir de su valor ‘hash’- en cuestión de minutos.
Sin embargo, la persona puede llegar a sentirse arrinconado por tener que modificar continuamente su contraseña, y esto le puede llevar a adoptar contramedidas poco recomendables como, la elección de passwords más fáciles de memorizar, o su escritura sobre los ya conocidos y notorios “Post-it”. Por tanto, es evidente que imponiendo el cambio de contraseñas como medida a adoptar, sólo se crearía una falsa ilusión de seguridad, por no decir que se generaría un riesgo adicional.
¿Debemos por lo tanto concluir que nuestros CSOs son un grupo de sádicos, cuyo único objetivo es vengarse de los usuarios que no los entienden? Aunque así fuera, es una medida ampliamente adoptada. De hecho, ésta, a menudo se enmarca en lo alto de la pirámide respecto a las necesidades del manejo de identidades y sólo sería beneficiosa si se realizará junto con otras acciones.
Lo básico es lo primero
Es difícil entender cómo la seguridad se puede mejorar si un usuario puede utilizar “password1”, “password2” y así sucesivamente cada trimestre, e ir simplemente incrementando el número al final de la contraseña. En este sentido, se debe exigir a los interesados un mínimo esfuerzo a la hora de modificar sus contraseñas, además de cumplir con unas cuantas reglas básicas como, el cambio de la contraseña por defecto, a partir de la primera vez que se utilice, o la prohibición en el uso de contraseñas cortas: un mínimo de 10 caracteres –16 según la ANSSI- sería lo correcto. De igual manera, es aconsejable optar por la diversidad en cuanto a los caracteres, entremezclando letras mayúsculas y minúsculas, números y grafías especiales.
Desgraciadamente, la caja de Pandora de la administración de contraseñas está llena de sorpresas. Así que, antes de establecer una política restrictiva en este sentido, es importante que el CSO defina un plan de comunicación en el que se permita a los usuarios entender mejor las implicaciones, utilizando ejemplos de casos recientes como el de LinkedIn para ello. Asimismo, puede ponerse de relieve, en particular, la debilidad de las contraseñas que se encuentran en estas bases de datos, o explicar los beneficios de una contraseña fuerte y probarlo. Adicionalmente, es aconsejable indicar uno o varios métodos para generar contraseñas fuertes, recomendar herramientas de gestión (1Password, KeePass, etc.) o invertir en elementos de seguridad para las cuentas más sensibles.
¿Cambiar o no cambiar?
Si siguiéramos todas las “Best practices” a la carta, entre ellas cambiar regularmente la contraseña, mejoraríamos la seguridad, y podríamos aumentar y atraer la atención sobre su importancia, y, con el tiempo, limitaríamos los riesgos relacionados con las fugas de información. Sin embargo, sólo podemos aplicar esta restricción a los usuarios que tienen acceso a datos sensibles y que son, a su vez, capaces de entender los motivos que hay detrás de cada una de las restricciones impuestas.