¿Por qué no es buena idea cambiar tu contraseña periódicamente?

Uno de los conocimientos más duraderos sobre seguridad de contraseñas es que cambiarla periódicamente aumenta la seguridad. Al menos, eso es lo que los equipos de TI de todo el mundo han estado impulsando a la gente a hacer durante décadas.

Sin embargo, ese consejo siempre ha encontrado oposición. Muchos en la industria de la seguridad argumentan que esto conduce a contraseñas que aún son fáciles de recordar. Ahora, la investigación ha demostrado esta teoría, ilustrando que cambiar las contraseñas con frecuencia conduce a problemas de seguridad.

Cambiar las contraseñas con frecuencia da lugar a una seguridad deficiente

A muchos de nosotros nos intimida la idea de cambiar la contraseña obligatoriamente cada 4, 6 u 8 semanas. Un grupo de TI promovió la idea de que cambiar la contraseña haría inútil cualquier violación de seguridad, ya que todos usarían la nueva contraseña.

En la práctica, esto conduce a debilidades en la creación de contraseñas. En lugar de crear contraseñas fuertes, únicas y difíciles de adivinar, la mayoría de las personas eligen contraseñas fáciles de recordar con partes pequeñas y repetidas.

Por ejemplo, una contraseña segura de 16 caracteres podría ser "hS'9{yX?Fzu#=_:R", que incluye una combinación de letras mayúsculas y minúsculas, números y símbolos. Es difícil de recordar, pero con el tiempo lo dominarás. Por el contrario, si tienes que cambiar tu contraseña cada mes, no tendrás tiempo para recordarla. Como resultado, la gente comenzó a usar frases más memorables con pequeñas partes repetidas.

• Enero: contraseñadifícil1
• Febrero: d1fficultpassword2
• Marzo: d1ff1cultp4ssword3
• V,v...

Elija contraseñas seguras y únicas (o utilice un administrador de contraseñas)

El Centro Nacional de Seguridad Cibernética del Reino Unido ha recomendado no utilizar contraseñas comunes desde 2015 y ahora, en 2024, el Instituto Nacional de Normas está siguiendo su ejemplo.

Su nuevo consejo recomienda que las contraseñas caduquen cada 365 días, lo que cambia significativamente ese período y aumenta la seguridad.

Al mismo tiempo, el NIST también está actualizando sus mensajes sobre la longitud y la fortaleza de las contraseñas. En algunos casos, las reglas de generación de contraseñas limitan a los usuarios a 12 caracteres o impiden el uso de ciertos símbolos. Actualmente, el NIST recomienda que todas las contraseñas:

• Mínimo 15 caracteres
• Máximo 64 caracteres
• Incluye todos los caracteres ASCII, caracteres de espacio en blanco y caracteres Unicode.

Estos cambios significan que más campos de ingreso de contraseña permitirán frases de contraseña más fuertes y memorables, mientras que la fortaleza general de la contraseña también aumentará.

Por supuesto, cualquier organización preocupada por la seguridad de las contraseñas debería habilitar el uso de un administrador de contraseñas. Existen consideraciones de seguridad adicionales involucradas en el uso de un administrador de contraseñas, como almacenamiento de datos local, cifrado de conocimiento cero, etc., pero se recomienda proteger todas sus cuentas con contraseñas seguras.