Microsoft dice que cambio obligatorio de contraseña es "viejo y obsoleto"

Microsoft finalmente está siguiendo la máxima que los expertos en seguridad han aceptado casi universalmente por años: cambios periódicos de la contraseña causan probablemente más daño que un bien.

En un casi ignorado post el mes pasado, Microsoft dijo que removerá los cambios periódicos de contraseña de sus lineamientos de seguridad que le recomienda a los clientes y auditores. Después de décadas de que Microsoft recomendara cambiar contraseñas regularmente, el empleado de Microsoft Aaron Margosis dijo que el requerimiento es una "mitigación vieja y obsoleta de muy poco valor".

El cambio de idea viene en su mayor parte como resultado de una investigación que muestra que las contraseñas son más probables de crackear cuando son fáciles de recordar para el usuario, como cuando ocupan un nombre o frase de su libro o película favorita. El problema surge cuando los hackers descargan una base de datos con las contraseñas cifradas y pueden hacer un ataque de fuerza bruta ocupando diccionarios de millones de palabras.

Los cambios más comunes que aplican los usuarios como usar un 1 en lugar de la i, sirven muy poco para protegerse de estos ataques. Los atacantes pueden probar miles de combinaciones por minuto, aprovechándose del poder de las nuevas tarjetas de video y procesadores. Se ha demostrado que cuando se obliga a cambiar a un usuario la contraseña cada 30, 60 o 90 días, el usuario termina eligiendo una contraseña fácil de recordar con una variación igual de sencilla, como "Pa$$w0rd1" y "Pa$$w0rd2".

En su post, Microsoft mencionó que otro de los problemas de seguridad es que al obligar a un usuario a cambiar su contraseña periódicamente el usuario, para no olvidar su nueva contraseña, la escribirá en un lugar donde otros podrían verla, creando así agujeros de seguridad bastante grandes. En su lugar, se está recomendando cambiar de contraseñas periódicas, a autenticación de dos pasos. Sin embargo, mencionan, ninguna de estas medidas servirá si el usuario final decide dar su contraseña a personas haciendo encuestas en la calle a cambio de dulces.

¿Ustedes están a favor de las contraseñas periódicas?

FUENTE:
arstechnica.com/information-technology/2019/06/microsoft-says-mandatory-password-changing-is-ancient-and-obsolete/

Normalmente cuando cambio una contraseña es porque algo pasó con la anterior y/o el administrador de Chrome no logra acceder con la que está guardada, o no puede autocompletar y me veo forzado a escribirla, la cual ya no recuerdo. 

Tengo un formato base pero lo he ido dejando en favor de las recomendaciones de Chrome. Sigo con la idea de pasarme a Edge pero simplemente no he podido y con el cambio quisiera empezar a usar Bitwarden para administrarlas y así poder tener la sincronización entre PC y Android, donde no uso Chrome.

Yo hace tiempo que uso las recomendaciones de password que da el firefox, que son imposibles de recordar y muy difícil de escribir si no usas copiar pegar. Ya no tengo que lidiar con tonterías de que a mi password le faltan caracteres, números, caracteres especiales, combinación de mayúsculas y minúsculas, el ve maría en latín, etc, pinchi firefox les escupe una diarrea directo del aniceto de satan para que no estén chingando.

wrote:

Yo hace tiempo que uso las recomendaciones de password que da el firefox, que son imposibles de recordar y muy difícil de escribir si no usas copiar pegar. Ya no tengo que lidiar con tonterías de que a mi password le faltan caracteres, números, caracteres especiales, combinación de mayúsculas y minúsculas, el ve maría en latín, etc, pinchi firefox les escupe una diarrea directo del aniceto de satan para que no estén chingando.
 

No olvidemos que cada sitio tiene su pendejada tambien..como algunos que no soportan mas de 16 caracteres.. otros que minimo necesitan 16.. y cosas como tu dijiste..
Ya nos hacen casi 100% dependientes de sistemas automaticos para guardar claves.

Yo sigo usando mis pass universales y lleva más de 10 años que no cambio las contraseñas de mis correos.

Aunque uso pass universales, los pass de mis correos son unicos y no repetidos en ningún otro lado. Hasta la fecha no he tenido problemas y miren que como han intentado hackear mi cuenta principal (en parte por sus pocas palabras).

Lo unico malo es que cada vez se ponen más roñas con la forma de crear los passwords... y hasta los username, sobre todo estos ultimos son los que me dan lata. Por ejemplo, necesito una "cuenta local" para acceder al software de mi camara de vigilancia hikvision (en realidad es para poder configurar el broadcast a internet, en este caso es más facil hacerlo desde el cel, pero esa es otra historia) y en una de esas se desloggeo y ahora ninguna de mis contraseñas universales sirve... lo que quiere decir que probablemente mi username no es correcto xD (eso me pasa por no usar usernames universales, jajajaja).

Esto ultimo en definitiva me está haciendo considerar más el usar algun gestor de contraseñas... y no quiero tomar el tema de mis dogecoins, que no tengo ni la menor idea de que pude haber puesto de contraseña.

Me llegó un correo de Google para checar si aún usaba una cuenta de correo de recuperación y al seguir los pasos me topé con esto: 




 

Date una vienta a la pagina Have I been Pwnd para confirmar hackeos, compara tu correo con las bases de datos hackeadas que han sido hechas publicas.

Sí, eso lo hago de vez en cuando y las últimas fueron 3 el año pasado.

Pero me puse a checar mis contraseñas y resulta que en muchos sitios que considero no tan importantes sí he usado la misma contraseña 109 veces, así que me puse a checar una por una y cambiar algunas con el administrador de Google y también con ayuda del generador de contraseñas de BitWarden.

Ya que termine de cambiar contraseñas y organizar pasaré todo a BitWarden para poder compartir con mi celular ya que son contraseñas largas y con todas las variables posibles.