Porqué obligar a cambiar las contraseñas cada 90 días es una mala idea

Zuljin

Fundador
Miembro del Equipo
Fundador
ADMIN
Se incorporó
15 Enero 2004
Mensajes
11.872
Buen artículo.



Cáchense esto

El autor de la recomendación, William (Bill) Burr, un jefe de proyecto en NIST en los años 2000, dijo en un artículo del Wall Street Journal que quería basar su consejo en datos reales, pero en ese entonces no había. Le pidió a los administradores de NIST que le dejaran ver las claves de los usuarios en la red del NIST, y le dijeron que no. Presionado por el tiempo, y sin datos, se basó fuertemente en un white paper escrito en los años ‘80, y terminó recomendando que los usuarios cambiaran sus claves cada 90 días. La razón: si un atacante está continuamente buscando la clave por fuerza bruta, el password podía ser encontrado en más o menos ese tiempo.


Básicamente toda nuestra cultura de criterio para cambiar la contraseña frecuentemente se basó en la tincada de un tipo en los 2 mil.
 
Última modificación:

NSonic

* Mako-Chan *
Se incorporó
23 Abril 2007
Mensajes
789
Bueno el articulo y tiene toda la razón, en la empresa se exige cambio por medio del AD cada 90 días, y que hace la mayoría de los usuarios, solo coloca un asterisco extra a su clave y después en 90 días mas otro asterisco.

Ahora la empresa lo hace porque en la auditoria que es Deloitte lo recomendaba así y como se asustaron lo dejaron así.
 
Upvote 0

Miguelwill

I am online
Miembro del Equipo
MOD
Se incorporó
23 Febrero 2004
Mensajes
12.403
concuerdo, es ridiculo forzar a cambiar claves cada x tiempo si no se preocupan de que esta no sea debil o que sea demasiado parecida a la anterior
 
Upvote 0

clusten

ADMIN
Miembro del Equipo
ADMIN
Se incorporó
1 Julio 2007
Mensajes
6.239
Bueno el articulo y tiene toda la razón, en la empresa se exige cambio por medio del AD cada 90 días, y que hace la mayoría de los usuarios, solo coloca un asterisco extra a su clave y después en 90 días mas otro asterisco.

Ahora la empresa lo hace porque en la auditoria que es Deloitte lo recomendaba así y como se asustaron lo dejaron así.
Lo magico es cuando se incorpora la restricción que la clave anterior no puede contener parcialmente las anteriores dos contraseñas.
Recuerdo que en una pega era asi y terminabas con contraseñas que eran "pareja123", "mascota987", "papa123" que iban rotando. El TI recuerdo que una vez comentó que lo que más consumia su tiempo era debloquear contraseñas (cambiabas la contraseña, al día siguiente metías la anterior, volvías a meter mal y al tercer intento, recordabas que la habias cambiado, pero no recordabas si era "123" o "987" y bloqueada. Ni que decir cuando el cambio caía cerca de vacaciones o mientras estabas en vacaciones).
 
Upvote 0

MaxSF

Capo
Se incorporó
17 Julio 2009
Mensajes
388
Entonces, es una aproximación basada en el tiempo en que un atacante podría vulnerar una contraseña por fuerza bruta… en la década de 1980.

Con la capacidad de procesamiento actual, ya queda claro que ese período está totalmente obsoleto.

Fuera de eso, las contraseñas siempre son un tema en las empresas y una lata para los trabajadores. Por querer asegurar una cosa, se toman medidas que debilitan la seguridad (como dejarlas anotadas en notas adhesivas, modificarlas mínimamente hasta que el sistema las acepte o ir rotando entre dos o tres).
 
Upvote 0

NSonic

* Mako-Chan *
Se incorporó
23 Abril 2007
Mensajes
789
Lo magico es cuando se incorpora la restricción que la clave anterior no puede contener parcialmente las anteriores dos contraseñas.
Recuerdo que en una pega era asi y terminabas con contraseñas que eran "pareja123", "mascota987", "papa123" que iban rotando. El TI recuerdo que una vez comentó que lo que más consumia su tiempo era debloquear contraseñas (cambiabas la contraseña, al día siguiente metías la anterior, volvías a meter mal y al tercer intento, recordabas que la habias cambiado, pero no recordabas si era "123" o "987" y bloqueada. Ni que decir cuando el cambio caía cerca de vacaciones o mientras estabas en vacaciones).
Y si, esta esa opcion puesta y tal como dices o colocando mas numeros o mas asteriscos, pero la clave en su 98% es la misma y porque? porque el usuario te dice , aaah que lata otra vez cambiarla?
 
Upvote 0

Lordnet

Autoridad Ancestral de Transacciones
Se incorporó
11 Junio 2004
Mensajes
2.231
Es poco aplicable la expiración de contraseñas cuando ahora tenemos 2FA.
Es decir, tienes que usar microsoft autenticator o similares para iniciar sesión. O recibes un OTP en tu mail.

y es como dicen.
la iteración ante una expiración es clave+un caracter nuevo

Recuerdo un tiempo nos dejaron el AD con 14 caracteres mínimos y no podias usar parte de claves viejas, asi que cuando expiraba eran varios intentos hasta que pasase una clave válida.

y el tema de nist al final se arrastró hasta PCI DSS que lo exigía, asi que en la industria financiera están un poco atados de manos.
1721668280816.png


No obstante PCI DSS 4 indica que lo exige solo en sistemas que no tengan 2FA.

el otro tema que ha cambiado es el uso de password managers (1password, keepas etc). por trabajo me toca lidiar con varias credenciales (por sistemas no integrados con AD). Entonces, es cada vez más complejo que el usuario recuerde todas sus contraseñas, por lo que se incurre en los infames post-it. bloc de notas o similares.

y si, me imagino que una cuota grande de los tickets de la mesa de ayuda es desbloqueo de cuentas y/o reseteo de contraseñas.
 
Upvote 0

NeX

͏
Se incorporó
15 Septiembre 2006
Mensajes
1.037
¿y en que quedó Passkeys? ha pasado harto tiempo desde que se anunció y hay solo un puñado de sitios los que lo implementaron, asumo que en el lado corporativo ni se molestaron en ver si era viable.

Yo me acostumbre a usar llaves FIDO en todo donde sea soportado, no es barato por el hecho de tener que comprar mínimo 2 y tener que registrarlas todas cada vez que se agrega a un acceso nuevo, pero creo que es lo más sólido en seguridad hasta el momento.
 
Upvote 0

MaxSF

Capo
Se incorporó
17 Julio 2009
Mensajes
388
¿y en que quedó Passkeys? ha pasado harto tiempo desde que se anunció y hay solo un puñado de sitios los que lo implementaron, asumo que en el lado corporativo ni se molestaron en ver si era viable.

Yo me acostumbre a usar llaves FIDO en todo donde sea soportado, no es barato por el hecho de tener que comprar mínimo 2 y tener que registrarlas todas cada vez que se agrega a un acceso nuevo, pero creo que es lo más sólido en seguridad hasta el momento.
En una empresa donde trabajé, cada trabajador tenía una Yubikey para autenticar el acceso a la VPN y a las VDI.
 
  • Like
Reactions: NeX
Upvote 0

NeX

͏
Se incorporó
15 Septiembre 2006
Mensajes
1.037
En una empresa donde trabajé, cada trabajador tenía una Yubikey para autenticar el acceso a la VPN y a las VDI.
Claro, se usan hace tiempo junto (o para reemplazar) los llaveros RSA.

Me refiero a Passkeys, que es como la llave FIDO pero sin necesidad del dongle físico, sino usando el smartphone por ejemplo.
 
Upvote 0

nxmx

ni idea...
Se incorporó
10 Septiembre 2009
Mensajes
175
el banco bci cada tanto obliga a cambiar de contraseña cada tanto, y es bastante enfermante en realidad...
 
Upvote 0

NSonic

* Mako-Chan *
Se incorporó
23 Abril 2007
Mensajes
789
el banco bci cada tanto obliga a cambiar de contraseña cada tanto, y es bastante enfermante en realidad...
Y pasa que se someten a los que te dicen en la Auditoria, por mas que los expertos del area TI dicen una cosa, pero si la auditoria dice que deben cambiar la clave X dias, sonamos, pescan al auditor no mas que con suerte sabe prender el notebook.
 
Upvote 0

Soujiro

Fanático
Se incorporó
14 Enero 2008
Mensajes
1.428
Odio a los seguritos, el 90% de sus "super medidas" de seguridad es pa tener a quien echarle la culpa, el 5% son hueas que aportan un 0.0001 % extra de seguridad y el 5% restante son hueas útiles realmente.
 
Upvote 0

Miguelwill

I am online
Miembro del Equipo
MOD
Se incorporó
23 Febrero 2004
Mensajes
12.403
Odio a los seguritos, el 90% de sus "super medidas" de seguridad es pa tener a quien echarle la culpa, el 5% son hueas que aportan un 0.0001 % extra de seguridad y el 5% restante son hueas útiles realmente.
enviado a mi pseudo-segurito para que sufra :risas
 
Upvote 0
Subir