Desde IE Insights me pidieron un artículo hablando sobre un tema, las políticas de seguridad aplicadas a las contraseñas, sobre el que había expuesto anteriormente mis ideas en la red corporativa. El resultado es este «Welcome to the Password Junkyard« (pdf), cuya tesis es perfectamente clara: pedir a tus empleados que cambien su contraseña cada cierto tiempo es una completa estupidez. Si alguien prefiere leerlo en español, tengo una versión pre-publicación.
Es, sin duda, una de las prácticas más arraigadas en ciberseguridad corporativa: las contraseñas son como los cepillos de dientes, y hay que cambiarlas cada poco tiempo. En la práctica, y a día de hoy, eso no es más que un mito. La realidad es que prácticamente cualquier contraseña que escoja un empleado y que pretenda además razonablemente recordar de memoria va a ser una mala contraseña.
Los avances en el uso de ataques mediante diccionarios han hecho que cualquier contraseña que aparezca en uno de ellos, no solo como palabra, sino también con todas sus variaciones sencillas, como sustituir determinadas letras con números (la «E» con el tres, la «A» con el cuatro, la «0» con el cero, etc.) sean fácilmente adivinadas en cuestión de pocos segundos. La única forma de minimizar este problema es, precisamente, dejar de martirizar periódicamente a nuestros empleados para que cambien su contraseña, y en su lugar, enseñarles a utilizar un gestor de contraseñas que les permita recurrir a contraseñas de veinte caracteres, sin ningún tipo de significado y con todo tipo de caracteres.
¿Cuándo hay que cambiar una contraseña? Simplemente, cuando esta haya sido publicada en algún data dump, y lo sepamos o bien a través de páginas dedicadas a reportar este tipo de cuestiones, o por un aviso de nuestro navegador. Algo que perfectamente puede monitorizar un departamento de IT.
Salvo en esas circunstancias, dedicarnos a molestar a nuestros empleados con algo tan absurdo como un cambio de contraseña es un completo sinsentido. En mi artículo intento revisar un poco las prácticas de seguridad actuales en muchas (demasiadas) empresas, y a poner de manifiesto por qué no tienen, a día de hoy, ningún sentido, y por qué deberían ser sustituidas por otro tipo de herramientas. ¿Tienen problemas los gestores de contraseñas? Los buenos, no. El mito de que los gestores de contraseñas pueden ser a su vez objeto de una violación de seguridad es simplemente eso, un mito: en los casos en que ha habido intrusiones, los delincuentes han terminado llevándose únicamente un listado de contraseñas cifradas, con un valor nulo.
En realidad, en lugar de poner el peso de la seguridad en el empleado y en que trate de aprenderse contraseñas distintas cada poco tiempo (o que, ante la imposibilidad de ello, termine apuntándolas en un post-it y pegándolas a la pantalla), deberíamos hacer caer la responsabilidad en el departamento de IT, que es quien debe proveer de herramientas como los gestores de contraseñas, adiestrar a los empleados en su uso, formarlos en el uso del doble factor, y avisarlos cuando alguna contraseña haya podido ser comprometida en algún data dump. Crear una cultura de seguridad en la compañía no tiene nada que ver con pedir a nuestros empleados cada poco tiempo que cambien su contraseña, y de hecho, las empresas que todavía hacen eso, es precisamente porque no tienen una buena cultura de seguridad.
Cuando nos demos cuenta de que muchas de las prácticas que empleamos en ciberseguridad corporativa son, en realidad, una reliquia del pasado sin ningún sentido a día de hoy, habremos avanzado seguramente bastante.
