Cambiar la contraseña puede ser negativo para la seguridad
Juan Carballo
A Lorrie Cranor, profesora de ciencias de la computación de la Universidad Carnegie, le sorprendió un tweet de un funcionario de la Comisión Federal de Comercio (FTC), institución de la que es responsable desde enero de este año. El mensaje ofrecía un consejo de seguridad a los followers: “Anime a sus seres queridos a cambiar las contraseñas a menudo, haciéndolas más largas, fuertes y únicas”. Cranor no estaba de acuerdo y se propuso desmontar el mito sobre la seguridad de las contraseñas.
Los argumentos para cambiar la contraseña con cierta frecuencia parecen de sentido común, pero no para una experta en seguridad informática. Cranor se mostró escéptica respecto a este consejo por dos razones: por un lado, algunas investigaciones recientes sugieren que modificar las contraseñas empeora la seguridad de los sistemas; y por otro lado, a la profesora le irrita personalmente la política del gobierno que obliga a sus empleados (como ella) a cambiar las claves cada 60 días.
“Vi este tweet y dije, ‘¿por qué la FTC va por ahí diciendo a todos que cambien sus contraseñas?’”, dijo en la apertura de la conferencia de seguridad de BSides, en Las Vegas. “Acudí a la gente de las redes sociales, les pregunté y me dijeron: ‘bueno, debe de ser un buen consejo porque en la FTC cambiamos nuestras contraseñas cada 60 días’”.
Cranor hizo llegar al director de información y al jefe de seguridad de la FTC las opiniones y estudios de los expertos en seguridad que cuestionan este consejo. Cambiar las contraseñas no ayuda, es más, probablemente es peor para los usuarios. En consecuencia, desde el organismo gubernamental solicitaron una investigación al respecto y Cranor se ofreció a llevarla a cabo.
El precedente más interesante es un estudio publicado en el año 2010 por investigadores de la Universidad de Carolina del Norte. Se analizaron más de 10.000 cuentas caducadas que una vez pertenecieron a empleados, profesores y estudiantes del centro. Aunque estos usuarios estaban obligados a cambiar la contraseña cada tres meses, los datos reflejaron los puntos débiles de este método de seguridad.
Los investigadores descubrieron que, si un usuario utilizaba la contraseña “estudiante 1”, por ejemplo, después del primer cambio lo más probable es que se pareciese a algo como “Estudiante 1”. También se repitieron patrones como: “estudiante 1”, “estudiante 11”, “estudiante 111” y así sucesivamente. Otra técnica podría ser “estudiante 1”, “estudiante 2”, “estudiante 3”, etc.
“Los investigadores de la UNC dijeron que si la gente tiene que cambiar sus contraseñas cada 90 días, tenderán a utilizar patrones y a hacer lo que llamamos una transformación” explicó Cranor. Los expertos desarrollaron un algoritmo capaz de predecir estas ligeras transformaciones y descubrieron que el 41% de las contraseñas modificadas que pusieron a prueba apenas resistieron tres segundos al hackeo.
Un estudio independiente de la Universidad de Carleton demuestra matemáticamente que los cambios en la contraseña suponen un pequeño obstáculo para los ciberdelincuentes, probablemente tan pequeño que ni siquiera merezca la pena molestarse.
Otras instituciones gubernamentales han llegado a la misma conclusión y ahora, gracias a la perseverancia de Cranor, los trabajadores de la FTC tampoco tendrán que cambiar regularmente las claves de sus ordenadores. “Estoy feliz de informar que no tendré que volver a cambiar nunca más dos de mis seis contraseñas del gobierno” celebró la profesora.
[Fuente:arstechnica]
Conoce cómo trabajamos en Computerhoy.