La caducidad de la contraseña está muerta, viva sus contraseñas

Mayo fue un mes trascendental, que marcó una victoria para la cordura y el pragmatismo sobre la paranoia irracional. Obviamente no estoy hablando de política. Estoy hablando de Microsoft finalmente – ¡por fin! ¡Pero les doy crédito por hacer esto! – Eliminación de las políticas de caducidad de la contraseña de su línea de base de seguridad de Windows 10.

Muchas organizaciones de escala empresarial (incluido el propietario de TechCrunch, Verizon) requieren que sus usuarios cambien sus contraseñas con regularidad. Esta es una política espectacularmente contraproducente. Para citar a Microsoft:

Investigaciones científicas recientes cuestionan el valor de muchas prácticas de seguridad de contraseñas de larga data, como las políticas de caducidad de las contraseñas, y en su lugar apuntan a mejores alternativas … Si una contraseña nunca se roba, no hay necesidad de caducar. Y si tiene pruebas de que una contraseña ha sido robada, probablemente actuará de inmediato en lugar de esperar a que caduque para solucionar el problema.

… Si una organización ha implementado con éxito listas de contraseña prohibida, autenticación multifactor, detección de ataques de adivinación de contraseña y detección de intentos de inicio de sesión anómalos, ¿necesitan una caducidad periódica de la contraseña? Y si no han implementado las mitigaciones modernas, ¿cuánta protección obtendrán realmente con la caducidad de la contraseña? … La caducidad periódica de la contraseña es una mitigación antigua y obsoleta de muy bajo valor

Si tiene una contraseña en dicha organización, le recomiendo que envíe esa publicación de blog a los administradores de su sistema. Lo ignorarán al principio, por supuesto, porque eso es lo que hacen los administradores de empresas, y porque la seguridad de la información (como la seguridad del transporte) es demasiado frecuente un trinquete unidireccional porque nuestra cultura del miedo incentiva el teatro de seguridad en lugar de la seguridad real, pero Puede comenzar a regañadientes a aceptar que el mundo ha avanzado.

En su lugar: use un administrador de contraseñas como LastPass o 1Password. (¡Tienen niveles gratuitos viables! Realmente no tienes excusa). Úsalo para eliminar o al menos minimizar la reutilización de contraseñas en los sitios. Utilice la autenticación de dos factores siempre que sea posible. Sí, incluso la autenticación de dos factores de SMS, a pesar de los ataques de transferencia de número y SS7, porque todavía es mejor que la autenticación de un factor.

Y, por favor, si trabaja con códigos o repositorios de datos, deje de revisar sus contraseñas y claves API en sus repositorios. Soy el director de tecnología de una consultoría y le sorprendería la cantidad de veces que los clientes acuden a nosotros con esta configuración desafortunada. El acceso al repositorio no es de grano fino, los repos son muy fáciles de copiar y / o sus copias están fuera de lugar, y una vez que se han registrado las credenciales, pueden ser realmente difíciles de eliminar. Usar incluso algo tan simple como las variables de entorno es un gran paso, y también simplifica su vida de muchas maneras cuando trabaja en múltiples entornos.

La seguridad perfecta no existe. La seguridad de clase mundial es difícil. Pero la seguridad decente es generalmente bastante accesible si se siguen fielmente algunas reglas básicas. Para hacerlo, lo mejor es mantener esas reglas al mínimo y deshacerse de las que no tienen sentido. La caducidad de la contraseña es una de esas. Adiós, y buen viaje.