Microsoft abandona su política de caducidad de contraseña
¡A todos nos ha pasado! programas, softwar, correos electrónicos e incluso redes sociales nos han exigido obligatoriamente y en un tiempo determinado un cambio de contraseña por afirmar que es mucho más seguro y pertinente. Pero ¿es esto verdad? Al parecer no, y es Microsoft quien se desliga de esta idea prediciendo una posible muerte de las contraseñas.
Según Microsoft: ¿Cambiar las contraseñas sirve o no?
Desde hace casi 30 años el cofundador de Microsoft, Bill Gates ha sostenido que las contraseñas no han sido el mejor método de defensa y que en muchas ocasiones estas se han convertido un dolor de cabeza tanto para los programadores como para los usuarios.
Cuando los usuarios se ven obligados a cambiar sus contraseñas con demasiada frecuencia, se provoca:
- Una alteración pequeña y predecible de sus nuevas contraseñas.
- Un extensa y compleja nueva contraseña con riesgo de ser confundida y olvidada.
- Un desgaste de contraseñas alternas que puede que no sean necesarias cambiarlas de manera constante.
Esto desmejora el rendimiento de seguridad y perjudica la estabilidad de usuario.
Por lo general, los piratas informáticos usan las contraseñas robadas muy rápidamente, y ni la complejidad de las contraseñas o sus constantes cambios, hacen mucho para evitar su uso y manipulación, ya que los ciberdelincuentes pueden capturar o robar contraseñas complejas con la misma facilidad que con unas simples.
Microsoft abandona su política de caducidad de contraseña
Debido a lo anterior y asegurando que las políticas de expiración de contraseñas son inútiles, Microsoft comenzará a eliminar las políticas de caducidad de contraseña que requieren cambios periódicos de claves en Windows 10 versión 1903 y Windows Server versión 1903.
Las organizaciones ahora podrán elegir su propia fecha de vencimiento de la contraseña o elegir no tener ninguna.
¿Como regirá esta nueva decisión?
Como ya lo mencionamos, las organizaciones ahora pueden elegir su propia fecha de vencimiento de la contraseña o desistir de la misma. En este momento, Windows sugiere 42 días, sin embargo, la línea de base existente es de 60 días, y solía ser de 90 días.
Hay que dejar claro que Microsoft no está cambiando sus requisitos de longitud mínima de la contraseña, historial o complejidad. De hecho, sugiere que las organizaciones verifiquen que las nuevas contraseñas no sean las mismas que se encuentran comúnmente en las infracciones de datos, como ‘123456’ o ‘Contraseña’.
Esta decisión puede traer efectos tanto positivos como negativos, pero sin duda alguna, como lo afirma Microsoft, el hecho de poder decidir cuando cambiar la contraseña de manera autónoma y cuando se crea necesario, puede llegar a ser una medida de seguridad más efectiva.
Microsoft recomienda protecciones adicionales así como el uso de distintas herramientas y en NSIT pensamos en la seguridad de nuestros lectores, clientes y usuarios. Es por ello que como herramienta esencial Azure Active Directory es la solución perfecta a utilizar puesto que los administradores podrán usarla para prohibir contraseñas comunes entre muchas más alternativas.
Si deseas saber más sobre esta solución no dudes en visitar nuestro apartado de Microsoft, escribir en nuestro chat de ayuda o contactarnos aquí.
Acerca de NSIT SAS:
Fuentes:
- Gartner: Microsoft Moves Past Outdated Password Policies; DIDs instead?
- ZDNET: Windows 10
