"Cambiar sus contraseñas regularmente" es comúnconsejo de contraseña, pero no es necesariamente un buen consejo. No debería molestarse en cambiar la mayoría de las contraseñas con regularidad: lo alienta a usar contraseñas más débiles y le hace perder el tiempo.
Sí, hay algunas situaciones en las que querráspara cambiar regularmente sus contraseñas. Pero esas probablemente serán la excepción más que la regla. Es un error decirles a los usuarios de computadoras que necesitan cambiar regularmente sus contraseñas.
La teoría de los cambios regulares de contraseña
Los cambios regulares de contraseña son teóricamente una buena idea porque aseguran que alguien no pueda adquirir su contraseña y usarla para espiarlo durante un período prolongado de tiempo.
Por ejemplo, si alguien adquirió su correo electrónicocontraseña, podrían iniciar sesión en su cuenta de correo electrónico regularmente y monitorear sus comunicaciones. Si alguien adquirió su contraseña de banca en línea, podría espiar sus transacciones o regresar en varios meses e intentar transferir dinero a sus propias cuentas. Si alguien adquirió su contraseña de Facebook, podría iniciar sesión como usted y monitorear sus comunicaciones privadas.
Teóricamente, cambiando sus contraseñas regularmente- tal vez cada pocos meses - ayudará a evitar que esto suceda. Incluso si alguien adquiriera su contraseña, solo tendrían unos pocos meses para usar su acceso con fines nefastos.
Los inconvenientes
Los cambios de contraseña no deben considerarse en unvacío. Si los seres humanos tuvieran un tiempo infinito y una memoria perfecta, los cambios regulares de contraseña serían una buena idea. En realidad, cambiar las contraseñas impone una carga a las personas.
Cambiar su contraseña regularmente hace que sea más difícilpara recordar buenas contraseñas. En lugar de crear una contraseña segura y guardarla en la memoria, debe intentar recordar una nueva contraseña cada pocos meses. Los usuarios que se ven obligados a cambiar regularmente su contraseña por un sistema informático pueden terminar agregando un número, por lo que pueden usar la contraseña1, la contraseña2, etc.
Ya es bastante difícil cambiar tu contraseñaregularmente para una sola cuenta y recuerde su nueva contraseña cada vez. Pero todos tenemos muchas contraseñas: imagine tener que cambiar su contraseña regularmente y recordar constantemente contraseñas únicas y seguras para una gran cantidad de servicios.
RELACIONADO: Por qué debería usar un administrador de contraseñas y cómo comenzar
Ya es básicamente imposible elegircontraseñas seguras y únicas para cada sitio web y recuérdelas; por eso recomendamos utilizar un administrador de contraseñas como LastPass o KeePass. Si cambia su contraseña cada pocos meses, es probable que termine usando contraseñas más débiles y reutilizándolas en varios sitios web. Es mucho más importante usar contraseñas seguras y únicas en todas partes que cambiar su contraseña regularmente.
Por qué no es necesario cambiar las contraseñas necesariamente
Cambiar su contraseña regularmente no ayudará comotanto como puedas pensar. Si un atacante obtiene acceso a sus cuentas, lo más probable es que use su acceso para causar daños de inmediato. Si obtienen acceso a su cuenta bancaria en línea, iniciarán sesión e intentarán transferir dinero en lugar de sentarse y esperar. Si obtienen acceso a una cuenta de compras en línea, iniciarán sesión e intentarán pedir productos con la información guardada de su tarjeta de crédito. Si obtienen acceso a su correo electrónico, es probable que lo usen para spam y phishing, o que intenten restablecer contraseñas en otros sitios con él. Si obtienen acceso a su cuenta de Facebook, probablemente intentarán enviar spam o defraudar a sus amigos de inmediato.
RELACIONADO: ¿Quién está haciendo todo este malware y por qué?
Los atacantes típicos no mantendrán tus contraseñaspor un período prolongado de tiempo y fisgonear en ti. Eso no es rentable, y los atacantes solo buscan ganancias. Notarás si alguien obtiene acceso a tus cuentas.
Cambiar su contraseña regularmente también esesencial si usa la misma contraseña en todas partes, porque es probable que su contraseña se filtre constantemente cuando uno de los servicios que usa se ve comprometido. En lugar de cambiar esa contraseña única con regularidad, debe tratar el problema real aquí y usar contraseñas únicas en todas partes.
Cuándo quieres cambiar las contraseñas
Cambiar las contraseñas puede ayudar si alguien que noUn atacante tradicional tiene acceso a su cuenta. Por ejemplo, supongamos que compartió sus credenciales de inicio de sesión de Netflix con un ex: querrá cambiar su contraseña para que no puedan usar su cuenta para siempre. O supongamos que alguien cercano a usted obtuvo acceso a su correo electrónico o contraseña de Facebook y usó su contraseña para espiarlo. Cuando cambia sus contraseñas, principalmente evita que este tipo de intercambio de cuentas y espionaje no impida que alguien del otro lado del mundo obtenga acceso.
Los cambios regulares de contraseña también pueden ser valiosos paraalgunos sistemas de trabajo, pero deben usarse con pensamiento. Los administradores de TI no deben obligar a los usuarios a cambiar sus contraseñas constantemente a menos que haya una buena razón: los usuarios simplemente comenzarán a usar contraseñas débiles, escribir contraseñas o incluso alternar entre dos contraseñas favoritas.
RELACIONADO: Explicación de Heartbleed: por qué necesita cambiar sus contraseñas ahora
Cambios de contraseña en respuesta a eventos específicosson algo bueno, por supuesto. Es una buena idea cambiar sus contraseñas en sitios web que eran vulnerables a Heartbleed pero que ahora lo han parcheado. También es una buena idea cambiar su contraseña después de que un sitio web haya robado su base de datos de contraseñas.
Si está reutilizando contraseñas para diferentessitios web, cambiar su contraseña en todos esos sitios es una buena idea si uno de esos sitios se ve comprometido. Pero esto es lo peor que puede hacer: la solución real aquí es usar contraseñas únicas, no cambiar constantemente su contraseña compartida a una nueva en todos los servicios que utiliza.
Centrarse en consejos útiles
RELACIONADO: Pregunte cómo hacer geek: ¿Qué tiene de malo escribir su contraseña?
El problema de aconsejar a las personas que cambien susla contraseña regularmente es que es un consejo tan molesto. El uso de contraseñas seguras y únicas en todas partes ya es un consejo casi imposible de hacer si no está utilizando un administrador de contraseñas para recordarlas por usted. La autenticación de dos factores también es útil, ya que puede evitar que se acceda a sus cuentas incluso si alguien roba sus contraseñas. En lugar de decirle a las personas que cambien regularmente sus contraseñas, deberíamos transmitir consejos útiles como "usar contraseñas únicas en todas partes", algo que la mayoría de la gente no hace actualmente.
Este no es el único consejo con el que no estamos de acuerdo. Para la mayoría de los usuarios domésticos, escribir algunas contraseñas no es una mala idea, definitivamente es mejor que reutilizar la misma contraseña en todas partes.
No somos los únicos que aconsejamos en contracambios indiscriminados de contraseña. El experto en seguridad Bruce Schneier ha escrito sobre por qué cambiar las contraseñas regularmente no es un buen consejo, mientras que Microsoft Research también concluyó que cambiar las contraseñas regularmente es una pérdida de tiempo. Sí, hay algunas situaciones en las que es posible que desee hacer esto, pero transmitir consejos como "cambiar sus contraseñas cada tres meses" a los usuarios de computadoras típicos está haciendo más daño que bien.
Crédito de la imagen: rochelle hartman en Flickr, Lulu Hoeller en Flickr, Joanna Poe en Flickr, snoopsmaus en Flickr, medithIT en Flickr
