Adiós a los cambios de contraseña periódicos obligatorios

IMAGE: Landing Page Maker (CC BY SA)

Durante varios años, incumplí a sabiendas la política corporativa que obligaba a un cambio de contraseña cada pocos meses. Simplemente, podía hacerlo, privilegios irregulares de haber sido, originalmente, uno de los primeros encargados de marcar políticas de uso de tecnología en una compañía. Cuando, hace poco tiempo, alguien decidió que aquellos privilegios no debían seguir funcionando y me obligó a cambiar la contraseña, me trajo ya completamente sin cuidado, porque hacía mucho tiempo que ni siquiera me la sabía: un gestor de contraseñas se encargaba de ello.

Siempre es bueno saber que estabas en lo cierto: Microsoft elimina la opción de obligar a cambios periódicos de contraseña en las directrices de seguridad de Windows 10, y afirma que «ese tipo de requisitos son una mitigación antigua y obsoleta de muy bajo valor». Simplemente, obligarte a cambiar la contraseña cada poco tiempo es un atavismo absurdo y molesto que no aporta nada a la seguridad, que tiende a hacer que las personas opten por malas contraseñas fáciles de recordar o que se las apunten en un post-it, y que es típico de responsables de seguridad desactualizados.

Si en tu compañía te piden que, por política corporativa, cambies la contraseña cada poco tiempo, ya sabes a qué atenerte. Protesta, y protesta de manera documentada. Pero ojo: que no te obliguen a cambiar la contraseña cada poco tiempo no quiere decir que puedas tener una contraseña absurdamente sencilla y no cambiarla jamás, ni utilizar la misma para todo: lo que hay que hacer es olvidarte de las prácticas que conocías sobre las contraseñas, y optar por un buen gestor de contraseñas bueno, que te permita ni siquiera sabértela, y cambiarla con agilidad y sin problemas de ningún tipo cada vez que haya una alerta de seguridad, que incluso, si quieres, puedes monitorizar con alguna extensión que lo permita. No, no es necesario cambiar la contraseña cada cierto tiempo: lo necesario es cambiarla, y por otra igualmente larga e imposible de recordar, cuando ha habido algún problema de seguridad en algún servicio.

¿Por qué un gestor de contraseñas? Porque a lo largo del tiempo, se ha demostrado el mejor método de seguridad. Todos aquellos mitos sobre «y si hackean el gestor de contraseñas» se han demostrado falsos, las contraseñas están bien guardadas, cifradas y a salvo, y porque utilizarlos implica, prácticamente siempre, utilizar contraseñas robustas, largas, seguras, y diferentes para cada servicio. Y si además utilizas un doble factor de autenticación, mejor aún.

Si eres responsable de seguridad y aún torturabas a todos los empleados utilizando esa ridícula práctica del cambio periódico de contraseña, es el momento de replantearte las cosas: la mejor inversión en seguridad es optar por una licencia corporativa de algún gestor de contraseñas, impartir algo de formación obligatoria sobre su uso, y asociarla con un doble factor de autenticación.


This post is also available in English on my Medium page, «At last: an end to obligatory password changes«


36 comentarios

  • #001
    Miguel Angel Alcaraz Belijar - 4 junio 2019 - 12:52

    Hola Enrique

    Acabo de leer su artículo y, lo lamento, pero no estoy en absoluto de acuerdo con usted.

    Nuestra experiencia es que tenemos multitud de ataques porque no es que te «hackeen» tu cuenta sino que el usuario la da voluntariamente por ataques de phising.

    En nuestro caso, debemos bloquear cuentas porque nos hacen ataques de Spam desde terceros países usando sus cuentas. Si no cambias tu contraseña, y no la has cambiado, te la utilizarán tarde o temprano.

    Si usted es muy cuidadoso con el no proporcionar sus datos, enhorabuena, yo también intento serlo, pero por desgracia muchos usuarios no son tan escrupulosos con la seguridad de sus datos personales y los dan ante el primer correo con un mínimo de credibilidad.

    Repito: El problema NO es que te hackeen, el problema es que consigan tus credenciales. Además, lo habitual es que el usuario estándar utilice su cuenta de correo y contraseña en multitud de servicios, y esos no son tan «seguros» como su gestor de contraseñas, que, por cierto, yo no confiaría tanto en su seguridad, ya que se ha demostrado que algunos de los gestores de contraseñas más populares exponen su clave maestra.

    Por tanto, yo no me atrevería de hacer ese tipo de afirmaciones, porque puede valer para usuarios especializados, pero NO para usuarios normales.

    Un saludo

    Responder
    • Javier Cuchí - 4 junio 2019 - 14:32

      Bueno, ya se dice que el primer y peor malware al que debe enfrentarse un responsable de seguridad informática es… el usuario.

      Responder
    • Michel Henric-Coll - 5 junio 2019 - 20:30

      Hola,
      «Nuestra experiencia es que tenemos multitud de ataques porque no es que te «hackeen» tu cuenta sino que el usuario la da voluntariamente por ataques de phising.»
      No entiendo cómo ni porqué el obligar a cambiar la contrasena periodicamente puede evitar que el usuario la comunique indebidamente.

      Responder
  • #004
    Enrique - 4 junio 2019 - 13:02

    No acabo de entender el artículo.

    Una empresa únicamente te obliga a cambiar la contraseña de usuario de Windows, que evidentemente es la misma a la de todos los servicios federados con Single Sign On (SSO).
    Efectivamente la puedo gestionar con un Gestor de Contraseñas, pero para iniciar sesión en Windows la tengo que recordar porque que yo sepa estos gestores no funcionan antes de arrancar la sesión.

    Entonces, si tengo que recordarla para iniciar sesión en Windows, ¿de qué me vale que me la guarde un gestor para el resto?

    Responder
  • #005
    Germán - 4 junio 2019 - 13:09

    Enrique,

    ¿por gestor de contraseñas te refieres a algo como Lastpass? Porque si es así, Lastpass fue hackeado al menos un par de veces, la última vez en 2017.
    Obviamente hay otro tipo de gestores, como Keepass, que me parece mas seguro por el simple hecho de no estar en un cloud público.

    Y los gestores de contraseñas integrados de los navegadores son un desastre en seguridad, según leí un artículo el año pasado, en donde se comentaba el tema.

    Sinceramente no veo por que motivo cambiar la contraseña cada cierto tiempo no valga la pena: el único que se me ocurre es que toda la red en donde usas la contraseña esté hackeada, y entonces claro que no tiene sentido. Pero si es una red no hackeada, cambiarla va a evitar como mínimo que las personas usen siempre la misma contraseña: la misma que usa en Yahoo (por ej., que fue hackeada varias veces), y así no comprometa la seguridad de la empresa en donde trabaja.

    Responder
    • Enrique Dans - 4 junio 2019 - 15:43

      No. Ese es el mito. LastPass ha sufrido intrusiones no en 2017, sino tres o cuatro veces. A todos los hackers les gusta ser capaces de decir que entraron en LastPass. Pero que hayan entrado no significa que se hayan podido llevar nada, esa es la clave. Entraron, y las contraseñas estaban completamente cifradas, por lo que entrar no sirvió absolutamente de nada. Por favor, acabemos con falsos mitos. El sitio de un gestor de contraseñas es la nube, porque lo quieres en todos tus dispositivos, y lo que hay que pedirle son buenas prácticas de seguridad, que LastPass ha demostrado tener. Eso es todo. Tuds contraseñas, con LastPass, están segurísimas.

      Responder
      • Michel Henric-Coll - 5 junio 2019 - 20:33

        Hola. «Acabemos con falsos mitos.»

        Un mito es «Narración fabulosa e imaginaria que intenta dar una explicación no racional a la realidad:»

        Un falso mito es entonces la verdad, del mismo modo que una falsa peluca son los cabellos auténticos.

        Responder
  • #008
    LOS PANCHOS - 4 junio 2019 - 13:10

    Resetear un password en W10 en 10 min. está al alcance de todos. Al menos MS se ha dado cuenta y ya no marean a los usuarios.

    Responder
  • #009
    Pit - 4 junio 2019 - 14:20

    Para mí el problema del gestor de contraseñas es la confianza. El usuario medio, cuando has terminado de asustarlo con los riesgos de la contraseña única y la debilidad de las que suelen escoger, no entiende que le recomiendes que delegue todo su mundo digital en una app y una sola contraseña maestra, le parece muy vulnerable. No importa que le digas que esa contraseña se encripta en su terminal y que nadie de Lastpass (o la que sea) puede acceder a ella. Más de uno me ha dicho,: ¿Y eso como lo sé yo? . Yo le contesto que es su negocio,y mucha gente experta puede verificar que esto es cierto, pero a la mayoría no les vale.

    Tengo un amigo que prefiere una hoja Excel con acceso con contraseña alojada en un Google Drive. Una versión casera e incómoda de un gestor de contraseña con dos capas de protección…

    Responder
    • Enrique Dans - 4 junio 2019 - 15:45

      La confianza se gana con el tiempo, y LastPass – y otros gestores de confianza, echa un ojo al enlace de comparativa que puse en el artículo – llevan mucho tiempo demostrando funcionar como deben, sin problemas, sin vulneraciones de seguridad y sin ningún escándalo.

      Responder
      • Pit - 4 junio 2019 - 19:06

        Yo tengo claro que un gestor de contraseñas es el sitio más seguro en el que puedes tener tus contraseñas, pero no hablo de mi, sino del usuario con conocimiento medio o medio bajo de tecnología.

        No son pocos a los que les he sugerido usar uno y han desconfiado, y no por el precio (los hay gratuitos)

        Responder
        • Michel Henric-Coll - 5 junio 2019 - 20:38

          Yo creo que el sitio de contraseñas más seguro, está en mi cabeza.
          ¿Me las olvido? Claro que sí. Pero las fabrico a partir de un algoritmo cifras-letras que calculo con el nombre del sitio.
          A veces, ni me acuerdo que ya estoy registrado en tal o cual sitio, pero recalculo la contraseña, y se demuestra que ya estaba registrado.
          Y el algoritmo, solo lo se yo.

          Responder
  • #013
    Gorki - 4 junio 2019 - 14:35

    De nada vale que tu guardes tu contraseña bajo cuatro candados, o con un gestor de contraseñas, si al servicio que accedes con contraseñas, les entra un hacker y de un plumazo se hace con 773 millones de datos de contraseñas, (entre ellas lo más probable es que sean las tuyas). https://elcomercio.pe/tecnologia/actualidad/victimas-mayor-robo-contrasenas-historia-noticia-598937

    Yo desde tiempo inmemorial tengo una contraseña «dura», para mi, bastante fácil de recordar, que uso en los servicios más arriesgados, (fundamentalmente bancos), y que no utilizo para nada más, pues cuanto en menos sitios esté, más difícil será que me la roben, y otra contraseña «blanda», que con muy pocas variaciones utilizo en los servicios que considero de poco riesgo, y hasta hoy este sistema me ha dado muy buenos resultados.

    Voy a explicar mi sistema con detalle.
    La contraseña «dura» comienza y acaba con un símbolo no alfabético por decir unos, este |… |, o este (…), o ¿… ?, o simpplemente este ñ…ñ y en el medio dos letras del nombre de un perro que tuve de pequeño, la primera en minúscula y la segunda en mayúscula, por decir dos letras supongamos «nU» y cuatro números finales del teléfono que tuve en casa de mis padres, que pudieran ser «8912».
    Por tanto por tanto la clave «dura» puede ser |nU8912|, de 8 caracteres letras números, símbolos y mayúsculas y minúsculas que según los expertos es lo adecuado y que como la utilizo de siempre, (y no la cambio), me la se de memoria.

    Tengo otra mas sencilla que utilizo para el correo, Facebook Twiter etc. o sea lugares que el mayor riesgo es que alguien me quiera suplantar y que a poco difícil que se lo ponga. desistitirá.

    Se basa en el nombre de un pago, por ejemplo :»Morejona», «Valdegalindo», «Cuerna», «Rebollarejo», «Zofraga», pagos todos ellos de Rueda (Valladolid) y en dos puntos fijos del interior de la palabra, intercalo al revés dos consonantes características el servicio que me la pide. Por ejemplo

    Para Twitter Mowretjona
    Para Facebook Mobrefjona
    Para Google Molregjona
    pata Gmail Momregona

    Generalmente esta clave específica para un servicio, se me olvida pero después de un par de intentos, conociendo la forma de crearla, doy con ella sin problema.

    Esta claro que esta clave me la pueden robar en un servicio, pero si no dedican un tiempo a estudiar específicamente esta clave, difícilmente entraran con ella en otro servicio mio.

    Claro está, que hay medios mas sofisticados y seguros de guardar una clave, pero yo no soy ni Fort Knox, ni tan siquiera el CNI, por lo que supongo que cualquier pequeña barrera hace desistir a quien lo intenta.

    Opino que la seguridad ha de ir proporcionada con lo que quieres guardar.

    Si en tu empres son unos pelmas que tyodos los meses te hacen cambiar4 la clave te aconsejo que utilices algo asi como el mes de tu nacimiento y en segundo y tercer lugar l las iniciales en mayusdcula de tu apellido. asi no te volveras loco
    MaMMyo, JuMMnio,…

    Estoy con Microsoft que es una jilipoyez, los problemas siempre salen de que das tu clave a alguien, para que puedan hace algo que solo puedes hacer tu.

    Así hicieron un desfalco millonario, porque quienes tenían que supervisar las operaciones de transferencia bancaria, dieron sus claves a un empleado porque se iban de vacaciones.

    Responder
    • Enrique Dans - 4 junio 2019 - 15:47

      Gorki, que no… que nadie se hace con 773 millones de datos de contraseña. Se hacen con un fichero imposible de descifrar, simplemente. Ese es el error de la mayoría de los que dicen que «los gestores de contraseñas se pueden hackear», que no entienden que esos gestores – los buenos, al menos – tienen prácticas de seguridad adecuadas que hacen que hackearlos no sirva para nada. Tú, con tu experiencia en sistemas, lo entiendes perfectamente.

      Responder
      • Gorki - 4 junio 2019 - 16:33

        ¿No roban contraseñas? – De la primera respuesta de Google

        https://www.xataka.com/seguridad/el-hackeo-a-yahoo-fue-mas-grave-de-lo-que-pensabamos-3-000-millones-de-cuentas-robadas-todas-las-que-tenia-en-2013

        https://www.xataka.com/seguridad/los-problemas-para-yahoo-aumentan-una-nueva-megafiltracion-afecto-los-datos-de-mas-de-mil-millones-de-cuentas

        https://www.xataka.com/privacidad/tragedia-privacidad-500-millones-cuentas-hackeadas-marriott-no-asombran-a-nadie

        https://www.genbeta.com/actualidad/myspace-lo-confirma-han-sido-hackeados-toca-cambiar-tu-contrasena-y-no-solo-de-myspace

        Responder
        • Michel Henric-Coll - 5 junio 2019 - 20:44

          Disculpa Gorki, pero hay una gran diferencia entre hackear (o robar) cuentas de una empresa y hackear un gestor de contraseñas.
          Que hayan robados cuentas de Yahoo, Mariott o quien sea no significa que han conseguido estas contraseñas hackeando un gestor de contraseñas. Tal vez, por el contrario, hackearon aquellos que no habían confiado sus contraseñas a un gestor seguro.

          Responder
          • Gorki - 6 junio 2019 - 17:46

            Nunca dije que un gestor no sea seguro, lo que dije y repito, que de nada vale que tu guardes la clave bajo cuatro candados y si en el servicio que accedes te la roban.

  • #018
    Javier - 4 junio 2019 - 16:30

    Pregunto (por puro desconocimiento). El gestor de contraseñas «funciona» una vez que has iniciado sesión, ¿no?. La contraseña de inicio de sesión la tienes que seguir recordando, ¿no?

    Seguramente me estoy perdiendo algo

    Responder
  • #019
    LOS PANCHOS - 4 junio 2019 - 16:36

    Si tienes W10, sabes que en 10min. alguien con un USB puede entrar al PC y sus datos. (Dejas el PC en la oficina, gimnasio, …?) Si confías en un tercero, la seguridad perfecta tampoco existía en 2014 ahora Enrique nos asegura que sí, ¿en 2014 que habría afirmado?

    https://www.seguridadapple.com/2015/06/lastpass-bbdd-de-contrasenas-robadas.html

    Pero no abramos un diálogo al estilo de Mota … hoy no, mañana !!

    PS: ¿Por qué será que el método Gorki no nos crea dudas y el del gestor «POFESIONAL» de contraseñas si?

    Responder
    • Gorki - 4 junio 2019 - 21:00

      ¡OJO! que yo no pongo en dudas la seguridad del gestor de contraseñas. Pero como la contraseña está en tu poder y en el del servicio que accedes, si a ti no te la pueden robar, pero la roban en el servicio que accedes , de nada vale tu magnifica seguridad seguridad en tu lado.

      Responder
      • Los panchos - 5 junio 2019 - 10:44

        Gorki,
        Salvo en un tema suelo estar de acuerdo contigo. Desarrollo el tema del SW de contraseñas un poco. A mi personalmente me aportan poco… Ya que uso un sistema parecido al tuyo.

        Si yo fuera ina agencia tipo NSA estaría encantado que la gente usara un gestor, y si es en la red mejor. De un plumazo tendrían entrada en primera fila a tus contraseñas. Es un punto con una probabilidad muy baja que a ti o a mi nos sucederia (espionaje de la NSA).

        Si yo usara ese tipo de SW, tendría de todas formas que entrar en el OS, y por tanto esa contraseña la debería de conocer, y me imagino que alguna contraseña maestra más, porque no iba a ser tan bobo de confiar mi seguridad a un windows, que en 10min. Con un programa gratuito que te bajas se abre al deseo de cualquiera que pase cerca de tu ordenador. Por tanto establecer un método parecido al tuyo es bajo mi punto de vista lo más práctico…

        Todo SW es crackeable, de hecho ha pasado, así que la justificación que son muy seguros, es una afirmación gratuita sobre un SW que no es gratuito.

        Que las contraseñas se mantienen en una BD encriptadas, es lo menos que se puede pedir a este tipo de SW. Si yo estucviera interesado en saber tu contraseña, no me dedicaria a explotar mediante fuerza bruta la BD…. Slvo que tuviera un ordenador cuántico y mi cerebrito no diera para más… ¿Que haría? Eso queda para otros foros no este

        Así que no confíes en la contraseña de juguete de tu OS, no cnfíes en un gestor de terceros, cuanto más original sea tu método shadow de generar contraseñas, mejor.
        Y si hay SW bueno, el libre, en el que una comunidad puede entrar en el fuente y descubrir gazapos, y en el que no hay puertas traseras de NSA.

        Moraleja: Si estuvieras trabajando en el cubículoa al lado de Snowden, le podriamos preguntar, amiguete ¿tu que gestor de contraseñas usas?, y seguro que ya te habría catalagado tu background…

        Responder
        • Michel Henric-Coll - 5 junio 2019 - 20:55

          Imagina que el gestor ha sido hackeado. Y los hackers han conseguido que mi contraseña codificada es «hANdL&;ñºlEvpV\k@t45~dQw».

          ¿De qué les sirve?
          Esto No es mi contraseña, sino la encriptación de la misma.

          Responder
          • Gorki - 6 junio 2019 - 17:50

            Imaginate que tu contraseña es HENRIC-COLL y que entran en tu servidor de correo, por ejemplo Yahoo y roban las contraseñas y ahí si aparece HENRIC-COLL , esta si es la contraseña.

            Pues yahoo lo hakearon.

          • Jose Pulido - 8 junio 2019 - 19:27

            Me parece que nadie ha dicho todavía que dichos gestores guardan las contraseñas codificadas con encriptación reversible. ¿Qué es lo que garantiza que un hacker no pueda hacer lo mismo que LastPass y descodificar las contraseñas? Nada…

            No mezclemos este tipo de codificaciones reversible, con las que estamos acostumbrados, que son irreversibles, ya que para saber si una contraseña es correcta no es necesario descodificarla (sólo es necesario comprobar que las dos codificadas son iguales).

            Yo creo que la fuerza de dichos gestores está en la facilidad de cambiar todas las contraseñas que gestiona rápidamente: cuando me parezca, y sin tener que cambiar mi contraseña de acceso a LastPass, lanzo la orden de cambiarlas todas, de todas partes. Yo creo que este es realmente su auténtica aportación a la seguridad. Y en cada sitio, además, tendrá una contraseña diferente impronunciable.

            Esto es sencillamente fantástico: si atacan a Yahoo, no comprometerán ningún otro servicio que use esa misma contraseña «blanda» ya que realmente no se usa en ningún otro sitio.

            Incluso, si LastPass es hackeada, con indicar a todos los usuarios que pulsen el botón del pánico y que se cambien todas las contraseñas al instante, también es fantástico.

    • Javier - 5 junio 2019 - 12:23

      Para evitar eso hay que cifrar la partición con BitLocker. Entonces si que no la puedes consultar ni pinchando un USB Live y arrancando desde él.

      Responder
  • #026
    Abelardo Ojeda - 4 junio 2019 - 16:38

    Por ahí leí que una razón por la que hackean a la gente es el phishing.

    No sé en Windows pero yo uso el administrador de contraseñas que proporciona el mismo sistema en Mac, el Llavero pues. Genera de forma random contraseñas realmente complejas. Así ni me molesto en recordarlas. Si el temor es el phishing, el llavero no proporciona la contraseña si no identifica que el sitio sea el mismo en donde la sacaste, un método de seguridad básico.

    Que yo sepa el llavero o gestionador de contraseñas no está ahí para dictártelas y que las vuelvas a escribir si no para hacer el trabajo también de identificar junto con tu navegador y escribirla por ti.

    En mi caso el llavero o la app del banco dependen de mi huella digital, así no meto contraseñas donde no debo.

    Hoy en día también Google proporciona este servicio donde debes autorizar desde el móvil el ingreso a tus cuentas y a su vez te pide la huella digital.

    Si tienes un servicio corporativo lo mejor es vincular una API que no exponga a los usuarios a escribir nada en lugares de riesgo.

    A su vez mi contraseña como usuario de Apple está bajo otra contraseña y está igual requiere mi huella.

    De qué hay formas de hacerla difícil a los hackers, aunque no sean infalibles, hay formas.

    Responder
  • #027
    Abelardo Ojeda - 4 junio 2019 - 16:46

    Ah lo olvidé… en mi caso como usuario de WordPress, para darles un ejemplo, uso código QR para ingresar al sitio. Las cuentas de colaboradores funcionan igual, así sólo les pido que instalen la app, se las valido y listo, no requieren meter contraseña nunca más.

    Esa app requiere por fuerza la huella digital en caso de que se pierda el móvil.

    Ya en tal caso das de baja a ese usuario si pierde su móvil. De qué hay formas incluso de evitar que hagan lo que no deben, hay formas.

    Responder
  • #028
    Victor Fariña - 4 junio 2019 - 20:00

    Efectivamente …
    Lo de cambiar las contraseñas era una pesadilla que los admins solíamos saltarnos ;)
    Basta con elegir contraseñas largas y gestores de contraseñas, así de fácil .. al menos mientras no se empleen sistemas de doble autenticación o de triple … Aquí os dejo un interesante video sobre este tema:
    https://youtu.be/fpi606kFST8

    Responder
  • #029
    ALAN TURING - 4 junio 2019 - 20:08

    Existe un proyecto llamado WebAuthn diseñado para acabar con todas las contraseñas. En marzo de este año el W3C publicó la primera especificación y cuenta con los auspicios de la FIDO (Fast Identity Online Alliance).
    Si finalmente se convierte en un estándar mundial ¿Podría realmente ser el fin de las contraseñas?

    Responder
  • #030
    acerswap - 4 junio 2019 - 21:01

    Enrique, por mucho que confies en un software de gestion de contraseñas olvidas el detalle de que se roban las contraseñas en muchas ocasiones en el servidor en cuestion y ahi está la clave de por qué es conveniente cambiarlas.

    Pongamos un ejemplo:

    Supongamos que tienes un servidor. Ese servidor contiene las claves de sus usuarios. Llega un atacante y roba la base de datos de contraseñas, que está encriptada y tarda 5 meses en desencriptarla en parte o en su totalidad.

    Si la politica de seguridad obliga a los usuarios de ese servidor a cambiar su contraseña cada 3 meses en el momento en que el atacante logre obtenerlas tendrá unas palabrejas inservibles, como mucho podrá intentar acceder con el usuario que tiene como contraseña «Paquita19» usando la contraseña «Paquita20» y ver si tiene suerte. En el caso de que no tengan que cambiarlas, esas contraseñas serán válidas durante un tiempo indefinido, y pueden pasar años hasta que el administrador detecte el robo y mientras tanto el ladrón puede estar paseandose por las cuentas de los usuarios como Pedro por su casa.

    No puedes confiar unicamente en la encriptacion de los datos, ya que cada vez es mas facil romperla. La caducidad de los datos es también un factor de protección. ¿Te crees que las renovaciones de los certificados se hacen porque les gusta causar molestias al usuario?

    Responder
    • Enrique Dans - 4 junio 2019 - 21:26

      No, lo que hay que hacer es cambiar la contraseña cuando hay una intrusión. Se pasa un correo diciendo «cambien la contraseña» o, en una instalación de gestor de contraseñas corporativa, se fuerza el cambio de contraseña para todos los usuarios. Exactamente lo que hacen los servicios web cuando sufren una intrusión.

      Responder
      • acerswap - 6 junio 2019 - 14:23

        Menos mal que no eres el responsable seguridad de una empresa. Lo que estás diciendo está a la altura de sugerir ponerse el casco después de tener el accidente de moto.

        Que se exija cambiar las contraseñas tras un ataque es de cajón, pero no siempre se conoce siquiera la existencia de ese ataque. Al cambiar las contraseñas periódicamente te aseguras de que si ha habido un robo de credenciales, conocido o no, esa información caduque.

        Responder
  • #033
    Gerard - 5 junio 2019 - 10:41

    La clave está casi al final del artículo: gestor de contraseñas + 2FA.

    Y si le añades conectarse mediante VPN, tratar al móvil como un ordenador (porque lo es), entender que las redes sociales no son la barra de un bar y una pizca de desconfianza con el correo electrónico ya lo bordas jeje.

    Por cierto siempre se habla de lastpass pero hay desarrollos made in spain como ciberprotector.com ;)

    Responder
  • #034
    Michel Henric-Coll - 5 junio 2019 - 21:00

    Y mientras tanto, BANKIA sigue protegiendo el acceso a tu cuenta en internet con el pin de tu VISA (4 dígitos) y no puedes cambiar eso.

    Puedes cambiar el pin de tu Visa, claro, y a la vez se cambiará la clave de tu cuenta. Imposible tener otra cosa que la misma que tu Visa.
    4 dígitos.
    :-(

    Responder
  • #035
    babujal - 6 junio 2019 - 18:06

    Para mi como IT tech recomedaría KeePass, no tengo quejas hasta ahora, se puede vincular con la base de datos en la nuve desde cualquier plataforma, incluyendo andriode. Saludos

    Responder
  • #036
    Pedro Torres Asdrubal - 7 junio 2019 - 12:25

    El nuevo Firefox me ha informado que el correo electrónico y la contraseña de dos de mis cuentas han sido filtradas.

    Dos cuenta que no guardan ningún dato privado que merezca proteger y tienen de contraseña «galleta».

    Eres dueño de tus silencios y esclavo de tus palabras.

    ¿Quien guarda la toalla en una caja fuerte?

    Responder

Dejar un Comentario

Los comentarios en esta página están moderados, no aparecerán inmediatamente en la página al ser enviados. Evita, por favor, las descalificaciones personales, los comentarios maleducados, los ataques directos o ridiculizaciones personales, o los calificativos insultantes de cualquier tipo, sean dirigidos al autor de la página o a cualquier otro comentarista. Estás en tu perfecto derecho de comentar anónimamente, pero por favor, no utilices el anonimato para decirles a las personas cosas que no les dirías en caso de tenerlas delante. Intenta mantener un ambiente agradable en el que las personas puedan comentar sin temor a sentirse insultados o descalificados. No comentes de manera repetitiva sobre un mismo tema, y mucho menos con varias identidades (astroturfing) o suplantando a otros comentaristas. Los comentarios que incumplan esas normas básicas serán eliminados.

 

XHTML: Puedes utilizar estas etiquetas: A ABBR ACRONYM B BLOCKQUOTE CITE CODE DEL EM I Q STRIKE STRONG IMG