Esta semana leí un artículo respecto de la caducidad de contraseñas, donde indicaban que Microsoft va a dejar de forzar a sus usuarios a cambiar la contraseña.
Yo también pienso que este sistema no tiene la eficacia que en principio podría pensarse.
Una vez, después de pasar una de mis primeras auditorias, pensé en habilitar la complejidad de contraseñas.
Rápidamente me dí cuenta que conseguí el efecto contrario al buscado. Los usuarios acababan apuntando su contraseña en un post-it y guardándola bajo el teclado.
Entonces, de que me sirve la complejidad?
Por norma general la obligación del cambio y caducidad de contraseña acaba por generar que el usuario se aprenda un patrón y lo utilice siempre, incorporando pequeñas variaciones cada vez que debe cambiarla.
Os suena marzo2019, 123456, 123123, admin2019 …?
No presenta esto el efecto contrario al buscado? si un atacante descubriese nuestro patrón sería muy fácil para él acceder a nuestras cuentas.
La solución, como ya os he comentado en este blog pasa por:
- Sistemas OTP
- Sistemas de autenticación en dos pasos para que las contraseñas no sean las únicas que nos den acceso a nuestras cuentas.
Breve pero concreto el artículo 🙂
Ciertamente la solución pasa por TOTP, 2FA o multifactores de autenticación «forzosos» en lugar de empeñar al usuario a utilizar contraseñas complejas de 13 o 20 caracteres… que luego acabarán en un post-it ¡o peor!
Apuesto por una combinación de multifactores y evangelización de la masa crítica 🙂
Gracias Luis, estoy de acuerdo contigo en esa combinación de multifactores y seguir sumando en concienciación. Los tiempos cambian y debemos adaptar nuestras medidas de seguridad, ya no tiene ningún sentido hablar de complejidad de contraseñas como único requisito.