Desde IE Insights me pidieron un artículo hablando sobre un tema, las políticas de seguridad aplicadas a las contraseñas, sobre el que había expuesto anteriormente mis ideas en la red corporativa. El resultado es este «Welcome to the Password Junkyard« (pdf), cuya tesis es perfectamente clara: pedir a tus empleados que cambien su contraseña cada cierto tiempo es una completa estupidez. Si alguien prefiere leerlo en español, tengo una versión pre-publicación.
Es, sin duda, una de las prácticas más arraigadas en ciberseguridad corporativa: las contraseñas son como los cepillos de dientes, y hay que cambiarlas cada poco tiempo. En la práctica, y a día de hoy, eso no es más que un mito. La realidad es que prácticamente cualquier contraseña que escoja un empleado y que pretenda además razonablemente recordar de memoria va a ser una mala contraseña.
Los avances en el uso de ataques mediante diccionarios han hecho que cualquier contraseña que aparezca en uno de ellos, no solo como palabra, sino también con todas sus variaciones sencillas, como sustituir determinadas letras con números (la «E» con el tres, la «A» con el cuatro, la «0» con el cero, etc.) sean fácilmente adivinadas en cuestión de pocos segundos. La única forma de minimizar este problema es, precisamente, dejar de martirizar periódicamente a nuestros empleados para que cambien su contraseña, y en su lugar, enseñarles a utilizar un gestor de contraseñas que les permita recurrir a contraseñas de veinte caracteres, sin ningún tipo de significado y con todo tipo de caracteres.
¿Cuándo hay que cambiar una contraseña? Simplemente, cuando esta haya sido publicada en algún data dump, y lo sepamos o bien a través de páginas dedicadas a reportar este tipo de cuestiones, o por un aviso de nuestro navegador. Algo que perfectamente puede monitorizar un departamento de IT.
Salvo en esas circunstancias, dedicarnos a molestar a nuestros empleados con algo tan absurdo como un cambio de contraseña es un completo sinsentido. En mi artículo intento revisar un poco las prácticas de seguridad actuales en muchas (demasiadas) empresas, y a poner de manifiesto por qué no tienen, a día de hoy, ningún sentido, y por qué deberían ser sustituidas por otro tipo de herramientas. ¿Tienen problemas los gestores de contraseñas? Los buenos, no. El mito de que los gestores de contraseñas pueden ser a su vez objeto de una violación de seguridad es simplemente eso, un mito: en los casos en que ha habido intrusiones, los delincuentes han terminado llevándose únicamente un listado de contraseñas cifradas, con un valor nulo.
En realidad, en lugar de poner el peso de la seguridad en el empleado y en que trate de aprenderse contraseñas distintas cada poco tiempo (o que, ante la imposibilidad de ello, termine apuntándolas en un post-it y pegándolas a la pantalla), deberíamos hacer caer la responsabilidad en el departamento de IT, que es quien debe proveer de herramientas como los gestores de contraseñas, adiestrar a los empleados en su uso, formarlos en el uso del doble factor, y avisarlos cuando alguna contraseña haya podido ser comprometida en algún data dump. Crear una cultura de seguridad en la compañía no tiene nada que ver con pedir a nuestros empleados cada poco tiempo que cambien su contraseña, y de hecho, las empresas que todavía hacen eso, es precisamente porque no tienen una buena cultura de seguridad.
Cuando nos demos cuenta de que muchas de las prácticas que empleamos en ciberseguridad corporativa son, en realidad, una reliquia del pasado sin ningún sentido a día de hoy, habremos avanzado seguramente bastante.
Soy programador, pero también responsable de CiberSeguridad en mi empresa.
Cuando llegué la gente usaba las mismas claves que en su hotmail/gmail y mil páginas más. Hablando con mis jefes conseguimos que se separaran las claves personales de las corporativas, para minimizar el daño de los dump
Luego la gente empezó a usar Excel codificados. Solo tuve que esperar a que uno lo perdiera y me dijeran si se podía recuperar que mostré las debilidades de los diccionarios. Si yo conseguía abrir ese Excel, significaba que no era seguro. Conseguí implantar KeePass con todos, como obligación.
Ahora además tengo a todos con su KeePass/KeePass XC subido a OneDrive, para protegerse de datos perdidos o discos.
Luego conseguí que todos los que usaban Office365/Azure/etc. pasaran a autenticarse con Doble Factor (2FA) con Microsoft Authenticator
Y ya la última maniobra fue poner todos en W10 PRO y activar BitLocker a todo quisqui y dejar todos los ficheros en Cloud, no trabajar nada en local.
Y pese a todos los logros, aun creo que somos vulnerables. Por suerte no interesamos demasiado a los rusos, pero si alguien pusiera su empeño… no resistiríamos demasiado.
Como jubilata ya no me gusta concretar mucho. Aparte de mi desconocimiento y pereza con el mundo de las contraseñas.
Pero esa misma jubilación me incita a meterme por donde quepa. Así que maticemos algo históricamente.
Como siempre se dice, «todo» está en la Historia de Roma. Y el probelma de las contraseñas también. Porque, mientras los germánicos y persas no aprendieron algo de latín, era fácil hacer el cambio de guardia sin que hubiera orejas ajenas escuchando.
Pero seguro que luego ya fue relativamente fácil hacer el felino y situarse estratégicamente cerca del guardia, para escuchar la contraseña.
A fin de cuentas, salvo que te quisieras hacer «un putin», los aprovechados incursionistas, lo hacían en pequeños campamentos, para conseguir alguna arma o ración de comida.pero sobre todo, para aprovechar el descuido lógico, allí donde el ser humano está más de vacances que «en guardia».
Así que , como pasa con la sobrevalorada privacidad (en pleno XXI), me parece que la fiebre de la contraseña, tiene más de obsesión tipo TOC, ese que tanto gustamos de padecer actualmente, que de verdadero problema para la libertad humana.
Esa que, precisamente, se conculca (vaya palabro), tan fácil y despreocupadamente, por los gobernantes de este puñetero planeta.
Totalmente de acuerdo
Mi compañía me obliga a modificar el password corporativo cada 3 meses. Total, que si antes tenía la contraseña pepe, luego ponia pepe01, luego pepe02, según el mes. Cuando me obligaron a no repetir las últimas contraseñas pasé a 01pepe. Luevo tuve que mezclar mayusculas y minusculas pasé a 01Pepe, y como ahora me obligan a meter otros caracteres estoy en 01_Pepe :)
Desde mi punto de vista sería mucho mas seguro si tuviera que poner una contraseña de pongamos de 12 caracteres, si no la tviese que cambiar cada 3 meses; por ejemplo: hfphdeiedzad … para mi es fácil de recordar y no creo que está en ningun diccionario
El problema puede venir tambien de tener que adaptarse a algunas normas. Por ejemplo, creo que La ISO 27001, la de seguridad, obliga a tener una politica de cambio periódica de contraseña.
Así que aunque sea absurdo, hay que pasar por el aro
Argh! Y yo justo metiéndome en eso…
Sobre el artículo, alguna reflexión:
«¿Cuándo hay que cambiar una contraseña? Simplemente, cuando esta haya sido publicada en algún data dump, y lo sepamos o bien a través de páginas dedicadas a reportar este tipo de cuestiones, o por un aviso de nuestro navegador. Algo que perfectamente puede monitorizar un departamento de IT.»
¿Qué departamento IT tiene los recursos (tiempo sobre todo) para hacerlo? seamos realistas. Y para cuando haya sido publicada, ¿no será ya quizás demasiado tarde?
«¿Tienen problemas los gestores de contraseñas? Los buenos, no.»
¿Bajo que criterio unos son buenos y otros no?
En fin… si en esta materia NIST y 270001 no se ponen de acuerdo, ¿cómo lo vamos a hacer nosotros?
Monitorizar alertas de data dumps no requiere más que un ratito al día, nada que ningún departamento de IT no pueda hacer, no hablamos de ciencia de cohetes. Y sobre los gestores de contraseñas, los buenos son los que cuestan algo de dinero (si son gratis, cuidado) y los que tienen una trayectoria demostrada de buenas prácticas. Hay muchas comparativas sobre el tema…
De acuerdo que cambiar las contraseñas aportan poco. Pero creo que sigue siendo mejor que no cambiarla por si en algún momento el hash ntlm de ese usuario se ve comprometido, por ejemplo.
Hablas de monitorizar dumps de hashes como si fuera lo más sencillo del mundo, como enviar un email. Alucinante.
¡Qué razón tienes! Yo utilizo como regla mnemotécnica de decodificación la primera letra de las palabras de una frase no muy larga, si bien hay quien utiliza otros algoritmos de encriptación. No hay excusas para no cifrar, por los datos personales aunque en la práctica pocos lo hagan. Otra cosa es que os fiéis de usar un gestor de contraseñas o no tengáis costumbre de hacerlo como yo de momento no hago. Lo que no estoy de acuerdo es que las tiendas online tengan que obligar a veces a poner el DNI, cuando todas no lo hacen. Hacer eso es incorrecto. Teniendo en cuenta la ingente cantidad de datos que comercializan de nosotros, hay que velar por la seguridad de dichos datos (aunque no sean los hackers los únicos que puedan acceder a ellos, ni los primeros necesariamente, salvo ataque), muchos más que en los contenedores de papel (donde también hay que seguir destruyendo documentos confidenciales). Es más, yo suelo registrarme por si falla la notificación o el contenido de la misma donde quede mi testimonio de haber hecho un pedido, la cuestión es que siempre hay más pruebas, pero para evitar más gestiones. Prefiero verlo en su plataforma registrado, para mayor control de funcionalidades como devoluciones y poder aprovechar el módulo logístico, que si es visual, tendrá mayor información sobre el estado del pedido, y el link de seguimiento a la agencia, si fuera necesario, salvo que lo tuvieras en un correo. ¿Qué opináis? Gracias, saludos y buen fin de semana.
«If your users are the kind who are willing to answer surveys in the parking lot that exchange a candy bar for their passwords, no password expiration policy will help you.»
Microsoft ya dijo hace más de dos años que las políticas de cambio de contraseña por sí solas no valen para mucho («Periodic password expiration is an ancient and obsolete mitigation of very low value»).
Para los interesados:
Why are we removing password-expiration policies?
Security baseline (FINAL) for Windows 10 v1903 and Windows Server v1903
«Password expiration requirements do more harm than good, because these requirements make users select predictable passwords, composed of sequential words and numbers that are closely related to each other. In these cases, the next password can be predicted based on the previous password. Password expiration requirements offer no containment benefits because cybercriminals almost always use credentials as soon as they compromise them»
Password policy recommendations
Y de hace ya 6 años, la Federal Trade Commision (FTC):
Time to rethink mandatory password changes
Uhhhhh uhhhhhhh….. XDDD
El Gobierno ordena apagar los ordenadores por temor a un ciberataque de Rusia
Sinceramente encuentro más sentido el que deba identificarme por un doble factor como mi móvil a los cambios idiotas de PW. No nos dejan ni nos instalan gestores de PW lo más normal es empresamesdiaaño, algo muuu sensato sí señor.