23 de septiembre de 2024The Hacker News Gestión de contraseñas/violación de datos
Restablecer contraseñas puede ser una tarea frustrante para los usuarios finales. Nadie quiere ser interrumpido por una notificación de “cambie su contraseña”. Y lo que es peor, la política de contraseñas de su organización rechaza la nueva contraseña que crea. Los equipos de TI comparten el mismo dolor, con restablecimientos diarios de contraseñas causados por tickets de la mesa de servicio y llamadas de soporte. Sin embargo, generalmente se acepta que todas las contraseñas caducan después de un cierto período de tiempo.
¿Por qué sucede esto? ¿Las contraseñas deben caducar? ¿Por qué existen? Configurar las contraseñas para que “nunca caduquen” puede ahorrarle algunos problemas, pero ¿es mejor para la ciberseguridad?
¿Por qué las contraseñas tienen fecha de caducidad?
La política tradicional de restablecimiento de contraseña de 90 días nació de la necesidad de protegerse contra ataques de fuerza bruta. Las organizaciones suelen almacenar las contraseñas como hashes. Un hash es una versión codificada de la contraseña real creada mediante una función hash criptográfica (CHF). Cuando un usuario ingresa una contraseña, se aplica un hash y se compara con el hash almacenado. Un atacante que intente descifrar estas contraseñas debe adivinar la contraseña correcta ejecutando las posibles contraseñas a través del mismo algoritmo hash y comparando los resultados. Este proceso puede complicarse aún más para los atacantes mediante técnicas como el salting, que agrega cadenas aleatorias a las contraseñas antes del hash.
Los ataques de fuerza bruta dependen de varios factores, incluida la potencia informática disponible para el atacante y la seguridad de la contraseña. El período de reinicio de 90 días se consideró un enfoque equilibrado que protege contra ataques de fuerza bruta sin sobrecargar a los usuarios con cambios frecuentes. Sin embargo, los avances tecnológicos han reducido el tiempo necesario para descifrar contraseñas, lo que ha llevado a una reevaluación de esta política. Sin embargo, muchos estándares de cumplimiento, incluido PCI, todavía recomiendan una fecha de vencimiento de 90 días.
¿Por qué algunas organizaciones han abolido las fechas de vencimiento?
Una de las principales razones en contra de la caducidad periódica de las contraseñas es que puede provocar una reutilización débil de las contraseñas. Los usuarios suelen realizar pequeños cambios en las contraseñas existentes, como cambiar “Contraseña1!” por “Contraseña2!”. Esta práctica socava los beneficios de seguridad de cambiar las contraseñas. Sin embargo, el verdadero problema aquí no es el acto de restablecer una contraseña, sino las políticas de la organización que permiten contraseñas débiles en primer lugar.
Una de las principales razones por las que las organizaciones eligen contraseñas que “nunca caducan” es para reducir la carga sobre TI y los servicios de asistencia. El restablecimiento de contraseñas del servicio de asistencia de TI puede ser costoso y engorroso. Gartner estima que entre el 20% y el 50% de las llamadas al servicio de asistencia técnica de TI están relacionadas con restablecimientos de contraseñas, y Forrester estima que cada restablecimiento cuesta aproximadamente 70 dólares en costos de mano de obra. Este costo es especialmente alto si los usuarios olvidan con frecuencia sus contraseñas después de verse obligados a crear otras nuevas.
Por lo tanto, algunas organizaciones pueden intentar obligar a los usuarios finales a crear una contraseña muy segura y configurarla para que “nunca caduque” para reducir la carga de TI y los costos de restablecimiento.
¿Cuáles son los riesgos de las contraseñas que “nunca caducan”?
Establecer una contraseña segura y no cambiarla nunca puede darle una falsa sensación de seguridad. Las contraseñas seguras no son inmunes a las amenazas. Los usuarios pueden ser vulnerables a estafas de phishing, filtraciones de datos y otros incidentes cibernéticos sin darse cuenta. Según el Informe de violación de contraseñas de Specops, el 83% de las contraseñas comprometidas cumplían con los estándares regulatorios en cuanto a longitud y complejidad.
Es posible que su organización tenga políticas de contraseñas seguras que obliguen a todos los usuarios finales a crear contraseñas seguras que puedan resistir ataques de fuerza bruta. Pero, ¿qué pasa si sus empleados deciden reutilizar las contraseñas de Facebook, Netflix y también todas sus demás aplicaciones personales? Independientemente de las medidas de seguridad internas que tenga una organización, el riesgo de que una contraseña se vea comprometida aumenta significativamente. La investigación de LastPass encontró que el 91% de los usuarios finales entendían los riesgos de reutilizar contraseñas, pero el 59% aun así las reutilizaba.
Otro riesgo de las contraseñas que “nunca caducan” es que un atacante puede utilizar credenciales comprometidas durante un período prolongado. Según una investigación del Instituto Ponemon, las organizaciones suelen tardar aproximadamente 207 días en identificar una infracción. Exigir la caducidad de la contraseña es beneficioso en este caso, pero cuando la contraseña caduque, es posible que el atacante ya haya logrado su objetivo. Como resultado, el NIST y otras directrices recomiendan a las organizaciones que establezcan contraseñas para que nunca caduquen, pero sólo si existe un mecanismo para identificar las cuentas comprometidas.
Cómo detectar una contraseña comprometida
Las organizaciones deben adoptar una estrategia integral de contraseñas que vaya más allá de las fechas de vencimiento normales. Esto incluye alentar a los usuarios a crear una frase de contraseña segura de al menos 15 caracteres. Estas políticas pueden reducir significativamente la vulnerabilidad a los ataques de fuerza bruta. También puede establecer un tiempo de vencimiento basado en la duración para alentar a los usuarios finales a crear contraseñas más largas. La caducidad basada en la longitud permite utilizar contraseñas más largas y seguras durante períodos de tiempo más prolongados antes de que caduquen. Este enfoque elimina la necesidad de fechas de vencimiento uniformes siempre que los usuarios sigan la política de contraseñas de su organización.
Ilustrando la creación de contraseñas más seguras y su antigüedad según la longitud
Sin embargo, incluso las contraseñas seguras pueden verse comprometidas y se deben tomar medidas para detectarlo. Una vez comprometida, el tiempo de descifrado de la contraseña en la parte inferior derecha de la tabla anterior cambia a “Instantáneo”. Las organizaciones necesitan una estrategia integrada para garantizar que puedan protegerse contra contraseñas débiles y comprometidas.
Si está interesado en administrar automáticamente todo lo anterior desde una interfaz fácil de usar dentro de Active Directory, la Política de contraseñas de Specops se convertirá en una herramienta esencial en su arsenal de ciberseguridad. A través de su servicio de protección de contraseñas violadas, Specops Password Policy puede verificar y bloquear continuamente el uso de más de 4 mil millones de contraseñas comprometidas conocidas. Compruébelo usted mismo con una demostración en vivo.
¿Te pareció interesante este artículo? Este artículo es una contribución de nuestros valiosos socios. Gorjeo Para leer más contenido exclusivo nuestro, visítenos en LinkedIn.
https://thehackernews.com/2024/09/why-never-expire-passwords-can-be-risky.html
