¿Debería cambiar sus contraseñas regularmente?
"Cambiar sus contraseñas regularmente" es un consejo común sobre contraseñas, pero no es necesariamente un buen consejo. No debería molestarse en cambiar la mayoría de las contraseñas con regularidad, ya que lo alienta a usar contraseñas más débiles y desperdicia su tiempo.
Sí, hay algunas situaciones en las que querrás cambiar tus contraseñas regularmente. Pero esos probablemente serán la excepción y no la regla. Decirle a los usuarios típicos de computadoras que necesitan cambiar sus contraseñas regularmente es un error.
La teoría de los cambios regulares de contraseña
Los cambios regulares de contraseña son teóricamente una buena idea porque aseguran que alguien no puede adquirir su contraseña y la utilizan para espiar a usted durante un período prolongado de tiempo.
Por ejemplo, si alguien adquirió su contraseña de correo electrónico, podría iniciar sesión en su cuenta de correo electrónico con regularidad y controlar sus comunicaciones. Si alguien adquirió su contraseña de banca en línea, podría husmear sus transacciones o regresar en varios meses e intentar transferir dinero a sus propias cuentas. Si alguien adquirió su contraseña de Facebook, podría iniciar sesión como usted y controlar sus comunicaciones privadas.
Teóricamente, cambiar sus contraseñas regularmente, tal vez cada pocos meses, ayudará a evitar que esto suceda. Incluso si alguien adquiriera su contraseña, solo tendrían unos pocos meses para usar su acceso con fines infames..
Las desventajas
Los cambios de contraseña no deben considerarse en un vacío. Si los seres humanos tuvieran un tiempo infinito y una memoria perfecta, los cambios regulares de contraseña serían una buena idea. En realidad, cambiar las contraseñas impone una carga a las personas.
Cambiar su contraseña regularmente hace que sea más difícil recordar buenas contraseñas. En lugar de crear una contraseña segura y memorizarla, debe intentar recordar una contraseña nueva cada pocos meses. Los usuarios que se ven obligados a cambiar regularmente su contraseña mediante un sistema informático pueden terminar agregando un número, por lo que pueden usar password1, password2, etc..
Ya es bastante difícil cambiar su contraseña regularmente para una sola cuenta y recordar su nueva contraseña cada vez. Pero todos tenemos muchas contraseñas: imagínese tener que cambiar su contraseña regularmente y recordar constantemente contraseñas sólidas y únicas para una gran cantidad de servicios.
Básicamente, ya es imposible elegir contraseñas seguras y únicas para cada sitio web y recordarlas, por eso recomendamos usar un administrador de contraseñas como LastPass o KeePass. Si cambia su contraseña cada pocos meses, es probable que termine usando contraseñas más débiles y reutilizándolas en múltiples sitios web. Es mucho más importante usar contraseñas seguras y únicas en todas partes que cambiar su contraseña regularmente.
¿Por qué cambiar contraseñas no ayuda necesariamente
Cambiar su contraseña regularmente no ayudará tanto como podría pensar. Si un atacante obtiene acceso a sus cuentas, lo más probable es que utilicen su acceso para causar daños de inmediato. Si obtienen acceso a su cuenta bancaria en línea, iniciarán sesión e intentarán transferir dinero en lugar de sentarse y esperar. Si obtienen acceso a una cuenta de compras en línea, iniciarán sesión e intentarán pedir productos con la información de su tarjeta de crédito guardada. Si obtienen acceso a su correo electrónico, es probable que lo utilicen para spam y phishing, o intenten restablecer las contraseñas en otros sitios con él. Si obtienen acceso a su cuenta de Facebook, probablemente intentarán enviar correo basura o estafar a sus amigos de inmediato..
Los atacantes típicos no mantendrán sus contraseñas durante un período prolongado de tiempo y no se detendrán en usted. Eso no es rentable, y los atacantes solo buscan ganancias. Notarás si alguien accede a tus cuentas..
Cambiar su contraseña con regularidad también es esencial si usa la misma contraseña en todas partes, ya que es probable que su contraseña se filtre constantemente cuando uno de los servicios que usa está comprometido. En lugar de cambiar esa única contraseña con regularidad, debe tratar el problema real aquí y usar contraseñas únicas en todas partes.
Cuando quieres cambiar contraseñas
Cambiar las contraseñas puede ayudar si alguien que no es un atacante tradicional tiene acceso a su cuenta. Por ejemplo, digamos que compartió sus credenciales de inicio de sesión de Netflix con un ex. Querrá cambiar su contraseña para que no puedan usar su cuenta por siempre. O, digamos que alguien cercano a usted obtuvo acceso a su correo electrónico o contraseña de Facebook y usó su contraseña para espiarle. Cuando cambias tus contraseñas, principalmente estás impidiendo este tipo de intercambio de cuentas y espionaje, no impidiendo que alguien del otro lado del mundo tenga acceso.
Los cambios regulares de contraseñas también pueden ser valiosos para algunos sistemas de trabajo, pero deben usarse con cuidado. Los administradores de TI no deberían obligar a los usuarios a cambiar sus contraseñas constantemente a menos que haya una buena razón: los usuarios simplemente comenzarán a usar contraseñas débiles, a escribir contraseñas o incluso a cambiar entre dos contraseñas favoritas.
Los cambios de contraseña en respuesta a eventos específicos son una buena cosa, por supuesto. Es una buena idea cambiar sus contraseñas en sitios web que eran vulnerables a Heartbleed pero que ahora lo han modificado. Cambiar su contraseña después de que un sitio web haya robado su base de datos de contraseñas también es una buena idea.
Si está reutilizando contraseñas para diferentes sitios web, cambiar su contraseña en todos esos sitios es una buena idea si uno de esos sitios está comprometido. Pero esto es lo peor que puede hacer: la solución real aquí es usar contraseñas únicas, no cambiar constantemente su contraseña compartida por una nueva en todos los servicios que usa..
Enfoque en consejos útiles
El problema con recomendar a las personas que cambien su contraseña regularmente es que es un consejo que distrae mucho. Usar contraseñas seguras y únicas en todas partes es un consejo casi imposible de hacer si no está usando un administrador de contraseñas para recordarlas por usted. La autenticación de dos factores también es útil, ya que puede evitar que se acceda a sus cuentas incluso si alguien roba sus contraseñas. En lugar de decirles a las personas que cambien sus contraseñas con regularidad, deberíamos transmitir consejos útiles como “usar contraseñas únicas en todas partes”, algo que la mayoría de las personas no hace actualmente..
Este no es el único consejo con el que no estamos de acuerdo. Para la mayoría de los usuarios domésticos, escribir algunas contraseñas no es una mala idea, definitivamente es mejor que reutilizar la misma contraseña en todas partes.
No somos los únicos que desaconsejamos los cambios de contraseña regulares e indiscriminados. El experto en seguridad Bruce Schneier ha escrito sobre por qué cambiar las contraseñas regularmente no es un buen consejo, mientras que Microsoft Research también concluyó que cambiar las contraseñas regularmente es una pérdida de tiempo. Sí, hay algunas situaciones en las que puede querer hacer esto, pero dar consejos como "cambiar sus contraseñas cada tres meses" a usuarios de computadoras típicos es hacer más daño que beneficio.
Crédito de la imagen: rochelle hartman en Flickr, Lulu Hoeller en Flickr, Joanna Poe en Flickr, snoopsmaus en Flickr, medithIT en Flickr