Microsoft renuncia a la caducidad de las contrase?as por ser un m¨¦todo in¨²til
"Si no la han robado, no hay que cambiarla y si lo han hecho, no hay que esperar a que caduque para modificarla", explica el consultor principal de la compa?¨ªa
Microsoft renuncia a la caducidad de las contrase?as. A partir de ahora, no exigir¨¢ su cambio peri¨®dico tras comprobar que es una medida in¨²til e incluso peligrosa. Esta medida pretend¨ªa evitar que una cuenta fuera pirateada, pero seg¨²n reconoce Aaron Margosis, consultor principal de la compa?¨ªa, su efectividad es nula. ¡°Si una contrase?a no ha sido robada no hay necesidad de cambiarla. Y si hay evidencia de que ha sido robada, hay que actuar de inmediato, sin esperar a que caduque¡±, explica en el blog de seguridad de la compa?¨ªa (Microsoft Security Guidance blog).
Para saber, por ejemplo, si una direcci¨®n de correo ha estado en manos ajenas, existen p¨¢ginas web en las que se almacenan los casos detectados, como Have I been pwned?, donde hay registradas m¨¢s de 5.000 millones de cuentas afectadas en alguna ocasi¨®n.
Margosis reconoce el problema de las contrase?as, evidenciado en un reciente informe que desvela que solo un 15% de los usuarios utiliza m¨¦todos seguros de identificaci¨®n y que la gran mayor¨ªa utiliza claves vulnerables como una sucesi¨®n de n¨²meros, sus nombres o los de sus equipos o grupos favoritos.
La raz¨®n es la pereza y la dificultad para recordar contrase?as consideradas fuertes (aquellas que alternan may¨²sculas y min¨²sculas con n¨²meros y caracteres especiales). ¡°Cuando una persona es obligada a cambiar la contrase?a, realiza peque?as y predecibles alteraciones sobre la ya usada¡±, escribe el consultor.
Aunque Microsoft renuncia a la caducidad, mantiene la recomendaci¨®n de utilizar esas mencionadas contrase?as fuertes y recurrir siempre que sea posible a procesos de verificaci¨®n en dos pasos (uso de otro dispositivo complementario para garantizar la autenticidad del usuario) o programas de reconocimiento de datos biom¨¦tricos, como la cara o la huella digital.
¡°La caducidad peri¨®dica de la contrase?a es una f¨®rmula antigua y obsoleta con muy poco valor y creemos que no es v¨¢lida dentro de nuestra pol¨ªtica de seguridad¡±, reconoce Margosis.
El Centro de Ciberseguridad Nacional de Reino Unido (National Cyber Security Centre, NCSC), en un informe que presenta esta semana, refleja que, pese a las continuas advertencias, solo un 15% de los usuarios recurre a m¨¦todos seguros mientras m¨¢s de 40 millones de personas mantienen como contrase?a de sus aparatos inform¨¢ticos la m¨¢s sencilla sucesi¨®n de n¨²meros (123456), d¨ªgitos iguales (111111), la palabra password o contrase?a o las primeras letras del teclado (qwerty).
Otras claves usadas habitualmente son el nombre propio, el de equipos de f¨²tbol, grupos de m¨²sica o personajes de ficci¨®n. "El problema de estas contrase?as es que son transparentes. Si en las redes mostramos que una persona sigue al Betis o le gusta Pokemon, quien quiera acceder a nuestros datos probar¨¢ con ¨¦stas o dispondr¨¢ de robots y programas para hacerlo", advierte Alejandro Mart¨ªnez, experto en seguridad en la red.
Hay herramientas para hacer m¨¢s seguras las cuentas y Microsoft anima a usarlas. Una de ellos el uso del token electr¨®nico, un dispositivo que almacena o genera claves, firmas digitales o datos biom¨¦tricos. Las tarjetas de cr¨¦dito con lector de huellas han comenzado a implantarse y tambi¨¦n existen teclados virtuales que cambian de posici¨®n el c¨®digo cada vez que se usa. Adem¨¢s, hay programas gestores de contrase?as para organizar y proteger las claves, as¨ª como para crearlas de forma aleatoria.
Para empresas y colectivos, han comenzado a proliferar servicios en la nube donde la entidad que presta las facilidades asume tambi¨¦n la seguridad. Microsoft dispone de Azure, una plataforma que no se menciona en la entrada de la compa?¨ªa sobre el fin de la caducidad y que, seg¨²n la empresa utiliza "controles multinivel integrados e inteligencia artificial frente a amenazas de r¨¢pida evoluci¨®n".
Tu suscripci¨®n se est¨¢ usando en otro dispositivo
?Quieres a?adir otro usuario a tu suscripci¨®n?
Si contin¨²as leyendo en este dispositivo, no se podr¨¢ leer en el otro.
FlechaTu suscripci¨®n se est¨¢ usando en otro dispositivo y solo puedes acceder a EL PA?S desde un dispositivo a la vez.
Si quieres compartir tu cuenta, cambia tu suscripci¨®n a la modalidad Premium, as¨ª podr¨¢s a?adir otro usuario. Cada uno acceder¨¢ con su propia cuenta de email, lo que os permitir¨¢ personalizar vuestra experiencia en EL PA?S.
En el caso de no saber qui¨¦n est¨¢ usando tu cuenta, te recomendamos cambiar tu contrase?a aqu¨ª.
Si decides continuar compartiendo tu cuenta, este mensaje se mostrar¨¢ en tu dispositivo y en el de la otra persona que est¨¢ usando tu cuenta de forma indefinida, afectando a tu experiencia de lectura. Puedes consultar aqu¨ª los t¨¦rminos y condiciones de la suscripci¨®n digital.
Sobre la firma
