Es, sin duda, una de las prácticas más arraigadas en ciberseguridad corporativa: las contraseñas son como los cepillos de dientes, y hay que cambiarlas cada poco tiempo. En la práctica, y a día de hoy, eso no es más que un mito. La realidad es que prácticamente cualquier contraseña que escoja un empleado y que pretenda además razonablemente recordar de memoria va a ser una mala contraseña. ¿Cuándo hay que cambiar una contraseña? Simplemente, cuando esta haya sido publicada en algún data dump, y lo sepamos o bien a través de páginas dedicadas.
Comentarios
Este asunto que comenta Dans lo sacó a la luz Microsoft hace algún tiempo, quizás un par de años y posiblemente otros antes. Y coincido en que el cambio de contraseñas, aparte de un coñazo, es bastante inútil si las quieres recordar. Y no te digo cuanto el sistema te limita la longitud de las mismas.
El gestor de contraseñas no me parece mala idea, pero, si nos ponemos en plan consparanoicos ... ¿quien nos dice que ese gestor no está controlado por una empresa con intereses espúreos, la NSA o el FSB ruso ahora que está de modo todo lo ruso? Eso ha pasado con algunas VPNs por ejemplo. O quien nos garantiza que esa empresa sea adquirida por otra o que simplemente estén recopilando accesos.
En mi empresa nos piden cambiarlo cada 45 días, si no recuerdo mal, pero como usamos aplicaciones de terceros, donde cada uno tiene su política, el cambio de contraseñas se convierte en un coñazo, para evitarlo yo cambio la contraseña de todos a principio de mes.
El gestor de contraseñas está bien cuando ya tienes iniciado el sistema, para iniciarlo tienes que tener una contraseña que puedas recordar fácilmente y te ayude a saber cual tienes cada mes.
A nivel personal ahora tengo unificado en Android, Linux y Windows la contraseñas con KeePassXC, usando una contraseña maestra junto con un fichero en mi equipo.
#4 Todos los meses pones la misma y le añades al final /01 en enero, /02 en febrero, etc. ¿a que si?
No sé si haces esto o algo parecido, pero cuando pones estos sistemas de cambio de contraseña tan frecuentes el usuario acaba haiendo esto. Unos porque se le ocurre hacerlo así, otros porque el de al lado le ha dicho que lo hace así y copian el método.
#6 algo parecido, porque alguna no deja poner contraseñas si son muy similares.
#7 bueno, cuando pasa eso aún está la opción unoENE-22, dosFEB-22, ... que es todavía peor
Absurdo por la naturaleza del usuario final, que en la práctica inutilizan la medida.
En aplicaciones y servidores, cada vez más bien se usan autorizaciones en vez de autenticaciones (tokens), que vienen a ser como contraseñas de un solo uso para los usuarios finales.
E.Dans debe ser un $luser. Son los que más se quejan de tener que cambiar las pass.
Esto es de lo mas absurdo, un whataboutismo para tratar de decir que como las contraseñas ya son malas, así que porque cambiarlas. Pues solo hace falta preguntarle a haveibeenpwned.com el porque, y si esperas a que el conocimiento sea publico, ya es demasiado tarde.
Lo mejor no es tener una contraseña, es tener un método para generarlas que nadie mas conozca, que sean seguras, que no sea fácil de deducir, pero que sea fácil de recordar. Cada vez que se cambia la contraseña, da la posibilidad de eliminar cualquier oportunidad que alguien hasta entonces haya tenido para empezar a aprenderla, especialmente si ha tenido que tomar medidas excepcionales para hacerlo.