Ahora bien, cambiar la contraseña seguido empuja a las personas a elegir contraseñas pobres. Lorrie Cranor, jefe de tecnología de FTC, afirma lo siguiente:
Mediante el estudio de los datos, los investigadores identificaron las técnicas comunes utilizadas por los dueños de cuentas cuando fueron obligados a cambiar las contraseñas. Una contraseña como «tarheels # 1», por ejemplo (sin incluir las comillas) con frecuencia se convirtió en «Tarheels # 1» después del primer cambio, «Tarheels # 1» en el segundo cambio y así sucesivamente. O podría ser cambiado a «tarheels # 11» en el primer cambio y «tarheels ° 111» en el segundo. Otra técnica común fue sustituir un dígito para que sea «tarheels # 2», «tarheels # 3», y así sucesivamente.
«Los investigadores de la UNC dijeron que si la gente tiene que cambiar sus contraseñas cada 90 días, tienden a utilizar un patrón y hacer lo que llamamos una transformación», explicó Cranor. «Se toman su vieja contraseñas, la cambian de alguna manera, y ya disponen de una nueva contraseña.»
«Los investigadores utilizaron las transformaciones que descubrieron para desarrollar algoritmos que fueron capaces de predecir los cambios con gran precisión. Entonces simularon en el mundo real de craqueo para ver lo bien que se llevan a cabo. En los ataques en línea, en la que los atacantes tratan de hacer tantos intentos como sea posible antes de que la red objetivo los bloquee, el algoritmo rompió el 17 % de las cuentas en menos de cinco intentos. En los ataques sin conexión realizados sobre los valores hash recuperados utilizando ordenadores súper rápidos, el 41 % de las contraseñas modificados estaban rotas en tres segundos.
Como conclusión, sí, es recomendable cambiar las contraseñas seguido, pero, ¿cuál es la nueva contraseña a utilizar?
Mi consejo, nunca utilizar patrones de modificación de las contraseñas anteriores para generar las nuevas… hay que cambiarlas seguido, pero las nuevas contraseñas deben ser totalmente independientes de la contraseña actual.
Esto es muy fácil de lograr si utilizamos gestores de contraseñas automatizados. Les recomiendo que se remitan a estos artículos que publicamos previamente sobre cómo utilizar un gestor de contraseñas seguro:
En esta oportunidad haremos una breve introducción a la criptografía simétrica y asimétrica, y utilizaremos OpenSSL para cifrar archivos simétricamente. Cuántas veces nos ha sido necesario pasarle esos datos privados a alguien por correo electrónico, Leer más…
Hoy les voy a comentar algunos conceptos sobre aleatoriedad de la información y entropía en un generador random en sistemas Linux, particularmente de la entropía, su concepto y usos. Entropía La entropía, también llamada Entropía Leer más…
En este post veremos cómo podemos multiplexar o reutilizar una conexión de SSH contra un servidor para acelerar la autenticación o login de las siguientes conexiones. Este post complementa el contenido del Curso online de Leer más…
Si, como se lee, si cambias frecuentemente la contraseña de tus servicios, puede que estés cometiendo un error de seguridad.
pero las nuevas contraseñas deben ser totalmente independientes de la contraseña actual.