Contraseña: cambios frecuentes puede ser inseguro

Publicado por Diego Córdoba en

contraseña bruce schneierSi, como se lee, si cambias frecuentemente la contraseña de tus servicios, puede que estés cometiendo un error de seguridad.

Esto no contradice lo que hemos estado comentando en Contraseña segura: Cómo? Día mundial de la contraseña, cambiar las contraseñas relativamente seguido es bueno para mantener la seguridad y privacidad de tus datos… una interesante reflección de Bruce Schneier.

Ahora bien, cambiar la contraseña seguido empuja a las personas a elegir contraseñas pobres. Lorrie Cranor, jefe de tecnología de FTC, afirma lo siguiente:

Mediante el estudio de los datos, los investigadores identificaron las técnicas comunes utilizadas por los dueños de cuentas cuando fueron obligados a cambiar las contraseñas. Una contraseña como «tarheels # 1», por ejemplo (sin incluir las comillas) con frecuencia se convirtió en «Tarheels # 1» después del primer cambio, «Tarheels # 1» en el segundo cambio y así sucesivamente. O podría ser cambiado a «tarheels # 11» en el primer cambio y «tarheels ° 111» en el segundo. Otra técnica común fue sustituir un dígito para que sea «tarheels # 2», «tarheels # 3», y así sucesivamente.

«Los investigadores de la UNC dijeron que si la gente tiene que cambiar sus contraseñas cada 90 días, tienden a utilizar un patrón y hacer lo que llamamos una transformación», explicó Cranor. «Se toman su vieja contraseñas, la cambian de alguna manera, y ya disponen de una nueva contraseña.»

«Los investigadores utilizaron las transformaciones que descubrieron para desarrollar algoritmos que fueron capaces de predecir los cambios con gran precisión. Entonces simularon en el mundo real de craqueo para ver lo bien que se llevan a cabo. En los ataques en línea, en la que los atacantes tratan de hacer tantos intentos como sea posible antes de que la red objetivo los bloquee, el algoritmo rompió el 17 % de las cuentas en menos de cinco intentos. En los ataques sin conexión realizados sobre los valores hash recuperados utilizando ordenadores súper rápidos, el 41 % de las contraseñas modificados estaban rotas en tres segundos.

Como conclusión, sí, es recomendable cambiar las contraseñas seguido, pero, ¿cuál es la nueva contraseña a utilizar?

Mi consejo, nunca utilizar patrones de modificación de las contraseñas anteriores para generar las nuevas… hay que cambiarlas seguido,6101434856_e7eafdfdf2_b contraseña pero las nuevas contraseñas deben ser totalmente independientes de la contraseña actual.

Esto es muy fácil de lograr si utilizamos gestores de contraseñas automatizados. Les recomiendo que se remitan a estos artículos que publicamos previamente sobre cómo utilizar un gestor de contraseñas seguro:

Para el que le interese, puede descargar el estudio anteriormente mencionado por Cranor aquí.


Diego Córdoba

- Ingeniero en Informática - Mg. Teleinformática - Tesis pendiente - Docente universitario - Investigador