La próxima vez que te pregunten cada cuánto se cambian las contraseñas...

Share this on → [Mastodon] [Twitter] [Facebook]

Greek Minister head of intelligence's password post-it.

Hay muchos consultores de seguridad y expertos que siguen repitiendo como un loro algo parecido a esto, que os sonará:

Hay que cambiar las contraseñas cada N meses, y es obligatorio establecer políticas que fuercen a los usuarios a ello.

No pasa un mes sin que alguien me diga que un experto le ha obligado a seguir esta política obsoleta y dañina.

Como siempre, todo depende del tipo de entorno y de los bienes que se intenten asegurar. En la mayoría de los casos, esta práctica es muy poco recomendable: invita a los usuarios a apuntar sus contraseñas (esos post-its!), elegir contraseñas de poca calidad, rotarlas, etc.

Esto no lo digo yo (bueno, sí, pero otros también). Desde hace mucho tiempo, autores como Bruce Schneier y Ross Anderson consideran que es una mala política.

El propio NIST recomienda no cambiar las credenciales si no hay indicios de que hayan sido comprometidas, lo hace en 2017 NIST Special Publication 800-63B, Authentication and Lifecycle Management:

Do not require that memorized secrets be changed arbitrarily (e.g., periodically) unless there is a user request or evidence of authenticator compromise.

Por si todavía necesitáis convencer a esos expertos o a vuestros jefes:

• “Frequent Password Changes Is a Bad Security Idea. I’ve been saying for years that it’s bad security advice, that it encourages poor passwords.” Bruce Scheneier.

• “One of the most pervasive and persistent design errors has been forcing users to change passwords regularly. Indeed, this has almost become a religious war between security researchers and auditors.” Ross Anderson.

• “Why is it that the FTC is going around telling everyone to change their passwords? Frequent password changes are the enemy of security” Lorrie Cranor, Federal Trade Commission Chief Tech., Carnegie Mellon University.

• “We quantify the security advantage of a password expiration policy, finding that the optimal benefit is relatively minor at best and questionable in light of overall cost” Chiasson et al., Quantifying the Security Advantage of Password Expiration Policies

• “Password expiration is a dying concept: OUTDATED THREAT MODEL + BEHAVIORAL COST + INCREASING RISK” Lance Spitzner, Director, SANS Security.

• “Password Expiration Considered Harmful” Rick Smith

• “The more often users are forced to change passwords, the greater the overall vulnerability to attack” Ciaran Martin, Head of the National Cyber Security Centre (NCSC), UK.

Si os quedan dudas sobre el asunto, aquí podéis encontrar más información.

En el Esquema Nacional de Seguridad se dice:

“Las contraseñas se cambiarán con una cierta periodicidad. Un año parece un tiempo razonable para su sustitución.”

Parece que no se han querido mojar mucho. ¿Parece razonable en qué contexto y para qué credenciales? Por un lado, para los creyentes del cambio periódico, un año sería una barbaridad (he escuchado casos en los que obligaban a cambiar ¡cada mes!). Por otro, como hemos visto, el NIST dice que no hay que cambiarlas de forma periódica.

Parece que el sentido común se está imponiendo, y hasta Microsoft ha cambiado su política este mismo año:

There’s no question that the state of password security is problematic and has been for a long time. When humans pick their own passwords, too often they are easy to guess or predict. When humans are assigned or forced to create passwords that are hard to remember, too often they’ll write them down where others can see them. When humans are forced to change their passwords, too often they’ll make a small and predictable alteration to their existing passwords and/or forget their new passwords. When passwords or their corresponding hashes are stolen, it can be difficult at best to detect or restrict their unauthorized use.

Recent scientific research calls into question the value of many long-standing password-security practices, such as password expiration policies, and points instead to better alternatives such as enforcing banned-password lists (a great example being Azure AD password protection) and multi-factor authentication. While we recommend these alternatives, they cannot be expressed or enforced with our recommended security configuration baselines, which are built on Windows’ built-in Group Policy settings and cannot include customer-specific values.

Seguro que en un mes lo vuelvo a escuchar XD

_{^{(cc) Enrique Soriano-Salvador Algunos derechos reservados. Este trabajo se entrega bajo la licencia Creative Commons Reconocimiento - NoComercial - SinObraDerivada (by-nc-nd). Creative Commons, 559 Nathan Abbott Way, Stanford, California 94305, USA.}}