En primer lugar, Microsoft ha propuesto eliminar una política en Windows que requiere que los usuarios cambien periódicamente su contraseña de inicio de sesión.
En una publicación en su blog, el gigante tecnológico afirmó que su nuevo borrador de línea de base de configuración de seguridad; ya no obligaría a los usuarios a cambiar sus contraseñas cada pocas semanas o meses. Del mismo modo, son los usuarios que tienen cuentas controladas por políticas de grupo de redes.
Asimismo, los documentos preliminares de seguridad de Microsoft incluyen políticas recomendadas. Estas políticas afectan a grupos enteros de usuarios en una red corporativa. Incluidas reglas que limitan ciertas funciones y servicios para evitar el abuso y el uso indebido. Así como el bloqueo de ciertas funciones que el malware puede usar para atacar la red y el sistema.
Asimismo, la compañía dijo que la política de cambio de contraseña de Windows existente es una “mitigación antigua y obsoleta de muy bajo valor”. Por lo que la compañía no cree que valga la pena.
Esto es lo que afirman los expertos de Microsoft
La caducidad periódica de la contraseña de Windows, es una defensa solo contra la probabilidad de que una contraseña (o hash) sea robada. Ello durante su intervalo de validez y sea utilizada por una entidad no autorizada. Si una contraseña nunca es robada, no hay necesidad de hacer que caduque.
Y si tienes pruebas de que una contraseña ha sido robada, probablemente actuarás de inmediato en lugar de esperar a que la misma caduque para solucionar el problema.
Si bien es cierto que es probable que una contraseña sea robada; ¿cuántos días es un período de tiempo aceptable para continuar permitiendo que el ladrón usa la contraseña robada? En este sentido, el valor predeterminado de Windows es de 42 días. ¿No parece eso un tiempo absurdamente largo?
De hecho, lo es. Y sin embargo, nuestra línea de base actual dice que son 60 días. Y solía decir que eran 90 días, porque forzar la caducidad frecuente presenta sus propios problemas.
Las políticas de seguridad antiguas no ayudan del todo
Y si no es seguro que las contraseñas sean robadas, adquieres estos problemas sin ningún beneficio. Del mismo modo, si tus usuarios son del tipo que están dispuestos a responder encuestas en un estacionamiento. Para que intercambien unos caramelos por sus contraseñas, ninguna política de caducidad de contraseñas podrá ayudarlos.
Asimismo, al eliminar esto de nuestra línea de base, en lugar de recomendar un valor particular o del no vencimiento. Las organizaciones pueden elegir lo que mejor se adapte a tus necesidades percibidas sin contradecir nuestra guía. Al mismo tiempo, debemos reiterar que recomendamos encarecidamente protecciones adicionales. Aunque no se puedan expresar en nuestras líneas de base.
En otras palabras, Microsoft quiere ponerle una prioridad al uso de contraseñas seguras, largas y únicas, y no a tener que cambiarlas regularmente.
El cambio periódico de contraseñas es algo molesto
El hecho de cambiar las contraseñas cada pocas semanas o meses, frustra al usuario. es decir, puede hacer más daño que beneficio. Incluso, obligar a los usuarios a cambiar sus contraseñas de vez en cuenda, puede resultar en contraseñas mucho más débiles.
Del mismo modo, los expertos señalan que es poco probable que un atacante que ya conoce la contraseña de un usuario, se vea frustrado por un cambio de contraseña. Del mismo modo, y una vez que un atacante conoce una contraseña, a menudo puede adivinar la próxima contraseña del mismo usuario con bastante facilidad.
Así mismo, ha salido un informe del Instituto Nacional de Estándares y Tecnología (NIST), que asesora al gobierno federal sobre las prácticas y políticas de ciberseguridad. Han revisado su propio consejo para eliminar las políticas que exigen cambios periódicos de contraseñas.