Porqué obligar a cambiar las contraseñas cada 90 días es una mala idea

Zuljin · 22 Julio 2024

Buen artículo.

Porqué obligar a cambiar las contraseñas cada 90 días (o con cualquier otra frecuencia) es una mala idea - CSIRT de Gobierno

Sitio web oficial del CSIRT del Gobierno de Chile

csirt.gob.cl

Cáchense esto

El autor de la recomendación, William (Bill) Burr, un jefe de proyecto en NIST en los años 2000, dijo en un artículo del Wall Street Journal que quería basar su consejo en datos reales, pero en ese entonces no había. Le pidió a los administradores de NIST que le dejaran ver las claves de los usuarios en la red del NIST, y le dijeron que no. Presionado por el tiempo, y sin datos, se basó fuertemente en un white paper escrito en los años ‘80, y terminó recomendando que los usuarios cambiaran sus claves cada 90 días. La razón: si un atacante está continuamente buscando la clave por fuerza bruta, el password podía ser encontrado en más o menos ese tiempo.

Básicamente toda nuestra cultura de criterio para cambiar la contraseña frecuentemente se basó en la tincada de un tipo en los 2 mil.

NSonic · 22 Julio 2024

Bueno el articulo y tiene toda la razón, en la empresa se exige cambio por medio del AD cada 90 días, y que hace la mayoría de los usuarios, solo coloca un asterisco extra a su clave y después en 90 días mas otro asterisco.

Ahora la empresa lo hace porque en la auditoria que es Deloitte lo recomendaba así y como se asustaron lo dejaron así.

Miguelwill · 22 Julio 2024

concuerdo, es ridiculo forzar a cambiar claves cada x tiempo si no se preocupan de que esta no sea debil o que sea demasiado parecida a la anterior

clusten · 22 Julio 2024

NSonic dijo:
Bueno el articulo y tiene toda la razón, en la empresa se exige cambio por medio del AD cada 90 días, y que hace la mayoría de los usuarios, solo coloca un asterisco extra a su clave y después en 90 días mas otro asterisco.

Ahora la empresa lo hace porque en la auditoria que es Deloitte lo recomendaba así y como se asustaron lo dejaron así.

Lo magico es cuando se incorpora la restricción que la clave anterior no puede contener parcialmente las anteriores dos contraseñas.
Recuerdo que en una pega era asi y terminabas con contraseñas que eran "pareja123", "mascota987", "papa123" que iban rotando. El TI recuerdo que una vez comentó que lo que más consumia su tiempo era debloquear contraseñas (cambiabas la contraseña, al día siguiente metías la anterior, volvías a meter mal y al tercer intento, recordabas que la habias cambiado, pero no recordabas si era "123" o "987" y bloqueada. Ni que decir cuando el cambio caía cerca de vacaciones o mientras estabas en vacaciones).

MaxSF · 22 Julio 2024

Entonces, es una aproximación basada en el tiempo en que un atacante podría vulnerar una contraseña por fuerza bruta… en la década de 1980.

Con la capacidad de procesamiento actual, ya queda claro que ese período está totalmente obsoleto.

Fuera de eso, las contraseñas siempre son un tema en las empresas y una lata para los trabajadores. Por querer asegurar una cosa, se toman medidas que debilitan la seguridad (como dejarlas anotadas en notas adhesivas, modificarlas mínimamente hasta que el sistema las acepte o ir rotando entre dos o tres).

NSonic · 22 Julio 2024

clusten dijo:
Lo magico es cuando se incorpora la restricción que la clave anterior no puede contener parcialmente las anteriores dos contraseñas.
Recuerdo que en una pega era asi y terminabas con contraseñas que eran "pareja123", "mascota987", "papa123" que iban rotando. El TI recuerdo que una vez comentó que lo que más consumia su tiempo era debloquear contraseñas (cambiabas la contraseña, al día siguiente metías la anterior, volvías a meter mal y al tercer intento, recordabas que la habias cambiado, pero no recordabas si era "123" o "987" y bloqueada. Ni que decir cuando el cambio caía cerca de vacaciones o mientras estabas en vacaciones).

Y si, esta esa opcion puesta y tal como dices o colocando mas numeros o mas asteriscos, pero la clave en su 98% es la misma y porque? porque el usuario te dice , aaah que lata otra vez cambiarla?

Lordnet · 22 Julio 2024

Es poco aplicable la expiración de contraseñas cuando ahora tenemos 2FA.
Es decir, tienes que usar microsoft autenticator o similares para iniciar sesión. O recibes un OTP en tu mail.

y es como dicen.
la iteración ante una expiración es clave+un caracter nuevo

Recuerdo un tiempo nos dejaron el AD con 14 caracteres mínimos y no podias usar parte de claves viejas, asi que cuando expiraba eran varios intentos hasta que pasase una clave válida.

y el tema de nist al final se arrastró hasta PCI DSS que lo exigía, asi que en la industria financiera están un poco atados de manos.

No obstante PCI DSS 4 indica que lo exige solo en sistemas que no tengan 2FA.

el otro tema que ha cambiado es el uso de password managers (1password, keepas etc). por trabajo me toca lidiar con varias credenciales (por sistemas no integrados con AD). Entonces, es cada vez más complejo que el usuario recuerde todas sus contraseñas, por lo que se incurre en los infames post-it. bloc de notas o similares.

y si, me imagino que una cuota grande de los tickets de la mesa de ayuda es desbloqueo de cuentas y/o reseteo de contraseñas.

NeX · 22 Julio 2024

¿y en que quedó Passkeys? ha pasado harto tiempo desde que se anunció y hay solo un puñado de sitios los que lo implementaron, asumo que en el lado corporativo ni se molestaron en ver si era viable.

Yo me acostumbre a usar llaves FIDO en todo donde sea soportado, no es barato por el hecho de tener que comprar mínimo 2 y tener que registrarlas todas cada vez que se agrega a un acceso nuevo, pero creo que es lo más sólido en seguridad hasta el momento.

MaxSF · 22 Julio 2024

NeX dijo:
¿y en que quedó Passkeys? ha pasado harto tiempo desde que se anunció y hay solo un puñado de sitios los que lo implementaron, asumo que en el lado corporativo ni se molestaron en ver si era viable.

Yo me acostumbre a usar llaves FIDO en todo donde sea soportado, no es barato por el hecho de tener que comprar mínimo 2 y tener que registrarlas todas cada vez que se agrega a un acceso nuevo, pero creo que es lo más sólido en seguridad hasta el momento.

En una empresa donde trabajé, cada trabajador tenía una Yubikey para autenticar el acceso a la VPN y a las VDI.

NeX · 22 Julio 2024

MaxSF dijo:
En una empresa donde trabajé, cada trabajador tenía una Yubikey para autenticar el acceso a la VPN y a las VDI.

Claro, se usan hace tiempo junto (o para reemplazar) los llaveros RSA.

Me refiero a Passkeys, que es como la llave FIDO pero sin necesidad del dongle físico, sino usando el smartphone por ejemplo.

nxmx · 26 Julio 2024

el banco bci cada tanto obliga a cambiar de contraseña cada tanto, y es bastante enfermante en realidad...

NSonic · 26 Julio 2024

nxmx dijo:
el banco bci cada tanto obliga a cambiar de contraseña cada tanto, y es bastante enfermante en realidad...

Y pasa que se someten a los que te dicen en la Auditoria, por mas que los expertos del area TI dicen una cosa, pero si la auditoria dice que deben cambiar la clave X dias, sonamos, pescan al auditor no mas que con suerte sabe prender el notebook.

Soujiro · 27 Julio 2024

Odio a los seguritos, el 90% de sus "super medidas" de seguridad es pa tener a quien echarle la culpa, el 5% son hueas que aportan un 0.0001 % extra de seguridad y el 5% restante son hueas útiles realmente.

Miguelwill · 27 Julio 2024

Soujiro dijo:
Odio a los seguritos, el 90% de sus "super medidas" de seguridad es pa tener a quien echarle la culpa, el 5% son hueas que aportan un 0.0001 % extra de seguridad y el 5% restante son hueas útiles realmente.

enviado a mi pseudo-segurito para que sufra :risas

Porqué obligar a cambiar las contraseñas cada 90 días es una mala idea

Zuljin

Fundador

Porqué obligar a cambiar las contraseñas cada 90 días (o con cualquier otra frecuencia) es una mala idea - CSIRT de Gobierno

NSonic

* Mako-Chan *

Miguelwill

I am online

clusten

ADMIN

MaxSF

Capo

NSonic

* Mako-Chan *

Lordnet

Autoridad Ancestral de Transacciones

NeX

͏

MaxSF

Capo

NeX

͏

nxmx

ni idea...

NSonic

* Mako-Chan *

Soujiro

Fanático

Miguelwill

I am online