?Es bueno o malo cambiar de contrase?a a menudo?

Un estudio de 2016 demostr�� que cambiar constantemente de password puede no ser tan buena idea como parece.

Actualizado a 4 de febrero de 2020 23:49 CET

Cada vez que se produce un ataque hacker, inmediatamente los due?os de la web o plataforma de servicios emiten el mismo mensaje se?al��ndonos que debemos cambiar de contrase?a. Y de hecho hay muchos expertos en seguridad que recomiendan que modifiquemos el password a menudo, ya que de esa forma ser�� m��s dif��cil para un hacker rastrearnos y piratearnos el sistema. Pero, ?es esto verdad? Seg��n se?al�� Lorrie Cranor, ex-profesora en la Universidad Carnegie Mellon y jefe de tecnolog��a en la FTC, la Comisi��n Federal de Comercio de los EEUU, es lo peor.

Cada 60 d��as

Cranor se sorprendi�� al ver en 2016 un tweet de la FTC que animaba a cambiar las contrase?as "a menudo, haci��ndolas largas, fuertes y ��nicas". Para Cranor, experta en seguridad, esto no era un buen consejo, y se sumaba al hecho de que los seis passwords del gobierno que usaba deb��a cambiarlos cada 60 d��as. Cuando acudi�� a sus superiores de la FTC para informarles que esta pr��ctica empeoraba la seguridad, ellos le pidieron que probara su teor��a. Y la experta se bas�� en un estudio publicado en 2010 de investigadores de la Universidad de Carolina del Norte para ello.

La base del estudio hab��a sido pedir a 10.000 participantes entre estudiantes, trabajadores y personal facultativo de la Universidad que cada tres meses cambiasen todas sus contrase?as. El resultado de la prueba arrojaba la conclusi��n de que las nuevas contrase?as en muchos casos eran en realidad leves modificaciones de las contrase?as anteriores, como por ejemplo cambiar una letra min��scula por una may��scula

tarheels#1 > tArheels#1 > taRheels#1

O sustituir el d��gito por otro nuevo que en realidad es tambi��n el siguiente en la sucesi��n num��rica, lo que muestra un patr��n en cuanto a crear un password nuevo partiendo de cambios m��nimos en uno viejo:

tarheels#1 > tarheels#2 > tarheels#3

Algoritmos de cambio

Con estos resultados, los investigadores de ese estudio crearon algoritmos que fueron capaces de prevenir cambios en las contrase?as, y de esta moda simular lo sencillo que era piratear las contrase?as usando estos algoritmos. Con un ordenador normal pudieron piratear un 17% de los passwords de los 10.000 usuarios en menos de 5 intentos, y con una supercomputadora crackearon el 41% de las contrase?as en menos de 3 segundos.

Junto con este estudio y la opini��n de la experta de la FTC, otras organizaciones y agencias han publicado conclusiones sobre el hecho de que cambiar a menudo los passwords es algo tan inefectivo como contraproducente para el fin ��ltimo de las contrase?as, dado que el usuario tiende a 'reciclar' viejos passwords para obtener nuevos, sobre todo cuando se lo piden tras un ataque o, como en el caso de estos organismos americanos, cada cierto tiempo.