A todos nos ha pasado. Con tantas contraseñas en nuestra cabeza siempre hay una que falla, una que por más que intentemos no podemos recordar. La ingresamos la primera vez, la segunda y lo hacemos una tercera vez hasta que bloqueamos el sistema o simplemente nos damos por vencidos en nuestro intento. Entonces, ¿realmente funcionan las políticas de seguridad de contraseñas que nos exigen una serie de condiciones a la hora de establecer una?
Cuando nos sucede esto la única solución es restablecer la contraseña a través del sistema que propone el servicio en cuestión. Entonces volvemos al mismo ciclo. Al establecer la nueva contraseña se nos pide colocar una con tantas especificaciones que lo más lógico y supuestamente seguro es colocar una que sea lo más larga y extraña posible, lo que a su vez significa que será muy difícil de recordar.
No podemos olvidar que hoy día tenemos dos vidas, por así decirlo: una real y una online. Nuestra vida online está regida por nombres de usuario y contraseñas, por lo que es prácticamente imposible poder recordar tantas combinaciones sin vernos obligados a descuidar la seguridad.
A este problema de las condiciones que nos exigen las políticas de seguridad también debemos sumarle otra: la obligación de tener que cambiar las claves de forma periódica. Sí, como si ya no resultara difícil encontrar una clave segura para nuestras cuentas, resulta que al tiempo debemos cambiarla nuevamente como medida de seguridad para evitar que intrusos puedan descubrirla.
Esta medida parece bastante sensata. Es decir, si una contraseña ha quedado expuesta de alguna manera o se ha comprometido al punto que alguien más podría saberla, lo más lógico es pedirle al usuario legítimo que la cambie por otra que el atacante no conoce.
El problema es que este proceso también genera inconvenientes a los usuarios, ya que si bien podemos aplicar este cambio de contraseñas frecuentes a algunas de nuestras cuentas, es casi imposible hacerlo con todas. También debemos tomar en cuenta que el hecho de cambiar contraseñas con frecuencia puede dejarnos más expuestos de lo que estábamos inicialmente.
¿Las políticas de seguridad nos hacen más vulnerables?
Sí, resulta que la medida que nos exige cambiar de contraseñas regularmente podría dejarnos mucho más vulnerables. Con lo complicado que es encontrar una contraseña más o menos segura, al tener que cambiarlas tantas veces hay muchas probabilidades de que terminemos colocando una muy similar a la anterior, lo que en definitiva no va a representar ninguna mejora en la seguridad.
La nueva contraseña también podría ser una que ya hemos utilizado en un sitio anterior y los atacantes podrían explotar esta debilidad. Además, si se trata de una contraseña muy complicada es muy probable que decidamos anotarla en alguna parte para evitar perderla, y esto sin duda representa otra vulnerabilidad.
Por otro lado, como ya lo hemos mencionado, las nuevas contraseñas tienden a ser olvidadas por todo este asunto de lo largas y extrañas que deben ser, lo que a la larga también genera un problema de productividad debido a que al no poder recordarlas tendremos que acudir a los sistemas de restablecimiento de contraseñas.
Con todo lo que hemos visto sobre las políticas de seguridad que se implementan en el establecimiento de contraseñas, en especial la exigencia de tener que cambiarlas con regularidad, es posible asegurar que estas nos hacen mucho más vulnerables a ataques cibernéticos. Es precisamente por esta razón que desde el Grupo de Comunicaciones y Seguridad Electrónica del Reino Unido (CESG), por ejemplo, se recomienda a las organizaciones no forzar la caducidad de las contraseñas habituales de los usuarios.
Desde el ente gubernamental creen que al no exigir el cambio de contraseñas es posible reducir estas vulnerabilidades. Al final de cuentas los atacantes pueden trabajar también en las nuevas contraseñas si tienen la anterior. Lo peor de todo es que los usuarios, al verse obligados a establecer una nueva contraseña, generalmente escogen una más débil para así no olvidarla.
Cuando se trata de contraseñas, todos tenemos experiencia porque en la actualidad la mayoría de las personas disponen de al menos una cuenta en algún servicio que les exige identificarse de alguna manera. Aunque ciertamente lo más sensato es tratar de poner en práctica las recomendaciones que se nos dan, la idea es que se trabaje en crear otros sistemas de defensa alternativos y más eficaces que podamos implementar para que se pueda detectar y prevenir el uso no autorizado de nuestras cuentas.
