Checkout
Cart: 0,00 - (0 items )

Adiós a los cambios de contraseña periódicos obligatorios




IMAGE: Landing Page Maker (CC BY SA)

Durante varios años, incumplí a sabiendas la política corporativa que obligaba a un cambio de contraseña cada pocos meses. Simplemente, podía hacerlo, privilegios irregulares de haber sido, originalmente, uno de los primeros encargados de marcar políticas de uso de tecnología en una compañía. Cuando, hace poco tiempo, alguien decidió que aquellos privilegios no debían seguir funcionando y me obligó a cambiar la contraseña, me trajo ya completamente sin cuidado, porque hacía mucho tiempo que ni siquiera me la sabía: un gestor de contraseñas se encargaba de ello.

Siempre es bueno saber que estabas en lo cierto: Microsoft elimina la opción de obligar a cambios periódicos de contraseña en las directrices de seguridad de Windows 10, y afirma que «ese tipo de requisitos son una mitigación antigua y obsoleta de muy bajo valor». Simplemente, obligarte a cambiar la contraseña cada poco tiempo es un atavismo absurdo y molesto que no aporta nada a la seguridad, que tiende a hacer que las personas opten por malas contraseñas fáciles de recordar o que se las apunten en un post-it, y que es típico de responsables de seguridad desactualizados.

Si en tu compañía te piden que, por política corporativa, cambies la contraseña cada poco tiempo, ya sabes a qué atenerte. Protesta, y protesta de manera documentada. Pero ojo: que no te obliguen a cambiar la contraseña cada poco tiempo no quiere decir que puedas tener una contraseña absurdamente sencilla y no cambiarla jamás, ni utilizar la misma para todo: lo que hay que hacer es olvidarte de las prácticas que conocías sobre las contraseñas, y optar por un buen gestor de contraseñas bueno, que te permita ni siquiera sabértela, y cambiarla con agilidad y sin problemas de ningún tipo cada vez que haya una alerta de seguridad, que incluso, si quieres, puedes monitorizar con alguna extensión que lo permita. No, no es necesario cambiar la contraseña cada cierto tiempo: lo necesario es cambiarla, y por otra igualmente larga e imposible de recordar, cuando ha habido algún problema de seguridad en algún servicio.

¿Por qué un gestor de contraseñas? Porque a lo largo del tiempo, se ha demostrado el mejor método de seguridad. Todos aquellos mitos sobre «y si hackean el gestor de contraseñas» se han demostrado falsos, las contraseñas están bien guardadas, cifradas y a salvo, y porque utilizarlos implica, prácticamente siempre, utilizar contraseñas robustas, largas, seguras, y diferentes para cada servicio. Y si además utilizas un doble part de autenticación, mejor aún.

Si eres responsable de seguridad y aún torturabas a todos los empleados utilizando esa ridícula práctica del cambio periódico de contraseña, es el momento de replantearte las cosas: la mejor inversión en seguridad es optar por una licencia corporativa de algún gestor de contraseñas, impartir algo de formación obligatoria sobre su uso, y asociarla con un doble part de autenticación.


This post is furthermore on hand in English on my Medium page, «Now not without lengthen: an discontinue to mandatory password adjustments«





Back to top