23 de septiembre de 2024The Hacker NewsGestión de contraseñas / Violación de datos Restablecer contraseñas puede ser frustrante para los usuarios finales. A nadie le gusta que lo interrumpa la notificación de «es hora de cambiar su contraseña», y menos aún cuando las nuevas contraseñas que crean son rechazadas por la política de contraseñas de su organización. Los equipos de TI comparten el dolor, ya que restablecer contraseñas a través de tickets de soporte técnico y llamadas de soporte es una carga diaria. A pesar de esto, se acepta comúnmente que todas las contraseñas deben caducar después de un período de tiempo establecido. ¿Por qué es este el caso? ¿Necesita caducidad de contraseñas? Explore la razón por la que existen las caducidad y por qué configurar las contraseñas para que «nunca caduquen» puede ahorrar algunos dolores de cabeza, pero no ser la mejor idea para la ciberseguridad. ¿Por qué tenemos caducidad de contraseñas? La política tradicional de restablecimiento de contraseñas de 90 días surge de la necesidad de protegerse contra ataques de fuerza bruta. Las organizaciones suelen almacenar las contraseñas como hashes, que son versiones codificadas de las contraseñas reales creadas mediante funciones hash criptográficas (CHF). Cuando un usuario introduce su contraseña, se codifica y se compara con el hash almacenado. Los atacantes que intentan descifrar estas contraseñas deben adivinar la correcta ejecutando las contraseñas potenciales a través del mismo algoritmo hash y comparando los resultados. El proceso puede complicarse aún más para los atacantes mediante técnicas como el salting, donde se añaden cadenas aleatorias a las contraseñas antes de codificarlas. Los ataques de fuerza bruta dependen de varios factores, incluida la potencia computacional disponible para el atacante y la solidez de la contraseña. El período de restablecimiento de 90 días se consideró un enfoque equilibrado para superar los ataques de fuerza bruta sin cargar a los usuarios con cambios demasiado frecuentes. Sin embargo, los avances en la tecnología han reducido el tiempo necesario para descifrar contraseñas, lo que provocó una reevaluación de esta política. A pesar de esto, el vencimiento de 90 días sigue siendo una recomendación en muchas normas de cumplimiento, incluida la PCI. ¿Por qué algunas organizaciones se han deshecho de los vencimientos? Uno de los principales argumentos en contra de la caducidad regular de las contraseñas es que puede llevar a la reutilización de contraseñas débiles. Los usuarios a menudo realizan pequeños cambios en sus contraseñas existentes, como cambiar «Contraseña1!» por «Contraseña2!». Esta práctica socava los beneficios de seguridad de los cambios de contraseña. Sin embargo, el verdadero problema aquí no es el acto de restablecer las contraseñas, sino más bien la política de la organización que permite contraseñas débiles en primer lugar. La principal razón por la que las organizaciones han optado por contraseñas «nunca caducan» es reducir la carga de TI y de la mesa de ayuda. El costo y la carga de los restablecimientos de contraseñas en las mesas de ayuda de TI son significativos. Gartner estima que entre el 20 y el 50 % de las llamadas a la mesa de ayuda de TI están relacionadas con el restablecimiento de contraseñas, y que cada restablecimiento cuesta alrededor de $70 en mano de obra según Forrester. Esto suma, especialmente cuando los usuarios olvidan con frecuencia sus contraseñas después de verse obligados a crear otras nuevas. Por lo tanto, algunas organizaciones pueden verse tentadas a obligar a los usuarios finales a crear una contraseña muy segura y luego configurar las contraseñas para que «nunca caduquen» para reducir la carga de TI y los costos de restablecimiento. ¿Cuáles son los riesgos de las contraseñas que «nunca caducan»? Tener una contraseña segura y no cambiarla nunca puede dar a alguien una falsa sensación de seguridad. Una contraseña segura no es inmune a las amenazas; puede ser vulnerable a esquemas de phishing, violaciones de datos u otros tipos de incidentes cibernéticos sin que el usuario se dé cuenta. El informe Specops Breached Password Report descubrió que el 83% de las contraseñas que se vieron comprometidas cumplían con los estándares regulatorios de longitud y complejidad. Una organización puede tener una política de contraseñas seguras donde cada usuario final se ve obligado a crear una contraseña segura que sea resistente a ataques de fuerza bruta. Pero, ¿qué sucede si el empleado decide reutilizar su contraseña para Facebook, Netflix y todas las demás aplicaciones personales también? El riesgo de que la contraseña se vea comprometida aumenta mucho, independientemente de las medidas de seguridad internas que tenga implementadas la organización. Una encuesta de LastPass descubrió que el 91% de los usuarios finales comprendían el riesgo de la reutilización de contraseñas, pero el 59% lo hizo de todos modos. Otro riesgo de las contraseñas que «nunca caducan» es que un atacante podría usar un conjunto de credenciales comprometidas durante un largo período de tiempo. El Instituto Ponemon descubrió que, por lo general, una organización tarda unos 207 días en identificar una infracción. Si bien imponer la caducidad de las contraseñas podría ser beneficioso en este caso, es probable que un atacante ya haya logrado sus objetivos cuando caduque la contraseña. En consecuencia, el NIST y otras directrices recomiendan a las organizaciones que solo establezcan contraseñas que nunca caduquen si tienen mecanismos para identificar las cuentas comprometidas. Cómo detectar contraseñas comprometidas Las organizaciones deben adoptar una estrategia integral de contraseñas que vaya más allá de la caducidad regular. Esto incluye orientar a los usuarios para que creen frases de contraseña seguras de al menos 15 caracteres. Una política de este tipo puede reducir significativamente la vulnerabilidad a los ataques de fuerza bruta. También se puede alentar a los usuarios finales a crear contraseñas más largas a través del envejecimiento basado en la longitud, donde se permite usar contraseñas más largas y seguras durante períodos prolongados antes de que caduquen. Este enfoque elimina la necesidad de un tiempo de caducidad único para todos, siempre que los usuarios se adhieran a la política de contraseñas de la organización. Imagen que muestra la creación de contraseñas más seguras y el envejecimiento basado en la longitud Sin embargo, incluso las contraseñas seguras pueden verse comprometidas y es necesario implementar medidas para detectarlo. Una vez comprometidas, el tiempo de descifrado de una contraseña en la parte inferior derecha de la tabla anterior pasa a ser «instantáneamente». Las organizaciones necesitan una estrategia unificada para asegurarse de que se están protegiendo tanto de las contraseñas débiles como de las comprometidas. Si está interesado en administrar todo lo anterior de manera automatizada desde una interfaz fácil de usar dentro de Active Directory, Specops Password Policy podría ser una herramienta valiosa en su arsenal de ciberseguridad. A través de su servicio Breached Password Protection, Specops Password Policy puede verificar y bloquear continuamente el uso de más de 4 mil millones de contraseñas únicas comprometidas conocidas. Compruébelo usted mismo con una demostración en vivo. ¿Le resultó interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.