El problema de cambiar de contrase?a a menudo

Cada vez que se produce un ataque hacker, inmediatamente los due?os de la web o plataforma de servicios emiten el mismo mensaje se?al¨¢ndonos que debemos cambiar de contrase?a. Y de hecho hay muchos expertos en seguridad que recomiendan que modifiquemos el password a menudo, ya que de esa forma ser¨¢ m¨¢s dif¨ªcil para un hacker rastrearnos y piratearnos el sistema. Pero, ?es esto verdad? Seg¨²n se?al¨® Lorrie Cranor, ex-profesora en la Universidad Carnegie Mellon y jefe de tecnolog¨ªa en la FTC, la Comisi¨®n Federal de Comercio de los EEUU, es lo peor.

Cada 60 d¨ªas

Cranor se sorprendi¨® al ver en 2016 un tweet de la FTC que animaba a cambiar las contrase?as "a menudo, haci¨¦ndolas largas, fuertes y ¨²nicas". Para Cranor, experta en seguridad, esto no era un buen consejo, y se sumaba al hecho de que los seis passwords del gobierno que usaba deb¨ªa cambiarlos cada 60 d¨ªas. Cuando acudi¨® a sus superiores de la FTC para informarles que esta pr¨¢ctica empeoraba la seguridad, ellos le pidieron que probara su teor¨ªa. Y la experta se bas¨® en un estudio publicado en 2010 de investigadores de la Universidad de Carolina del Norte para ello.

La base del estudio hab¨ªa sido pedir a 10.000 participantes entre estudiantes, trabajadores y personal facultativo de la Universidad que cada tres meses cambiasen todas sus contrase?as. El resultado de la prueba arrojaba la conclusi¨®n de que las nuevas contrase?as en muchos casos eran en realidad leves modificaciones de las contrase?as anteriores, como por ejemplo cambiar una letra min¨²scula por una may¨²scula

tarheels#1 > tArheels#1 > taRheels#1

O sustituir el d¨ªgito por otro nuevo que en realidad es tambi¨¦n el siguiente en la sucesi¨®n num¨¦rica, lo que muestra un patr¨®n en cuanto a crear un password nuevo partiendo de cambios m¨ªnimos en uno viejo:

tarheels#1 > tarheels#2 > tarheels#3

Algoritmos de cambio

Con estos resultados, los investigadores de ese estudio crearon algoritmos que fueron capaces de prevenir cambios en las contrase?as, y de esta moda simular lo sencillo que era piratear las contrase?as usando estos algoritmos. Con un ordenador normal pudieron piratear un 17% de los passwords de los 10.000 usuarios en menos de 5 intentos, y con una supercomputadora crackearon el 41% de las contrase?as en menos de 3 segundos.

Junto con este estudio y la opini¨®n de la experta de la FTC, otras organizaciones y agencias han publicado conclusiones sobre el hecho de que cambiar a menudo los passwords es algo tan inefectivo como contraproducente para el fin ¨²ltimo de las contrase?as, dado que el usuario tiende a 'reciclar' viejos passwords para obtener nuevos, sobre todo cuando se lo piden tras un ataque o, como en el caso de estos organismos americanos, cada cierto tiempo.