MICROSOFT
MADRID, 25 Abr. (Portaltic/EP) -
Microsoft ha decidido eliminar su política de caducidad de contraseñas, que obliga a los usuarios de Windows a cambiar sus claves de forma periódica, al entender que plantea una protección ante un posible robo de credenciales y problemas en los usuarios para determinar una calve robusta.
En el borrador de los ajustes de seguridad para Windows 10 v1903 y Windows Server v1903, la compañía ha incluido la propuesta de eliminar las políticas de expiración de contraseña, que solicitan al usuario el cambio de la misma de forma periódica. Esta estrategia se ha entendido como una defensa contra "la probabilidad de que una contraseña sea robada durante su intervalo de validez" y sea utilizada por un tercero.
Por defecto, Windows insta sus usuarios a modificar la contraseña de inicio de sesión cada 42 días por motivos de seguridad, en caso de que un tercero haya logrado hacerse con ella. No obstante, y como explica en su blog, se trata de un periodo de tiempo "ridículamente largo" para evitar que un cibercriminal haga uso de la credencial robada.
Microsoft menciona investigaciones recientes que cuestionan el valor las políticas de caducidad de contraseñas y que, en cambio, apuntan a alternativas como la imposición de listas de contraseñas prohibidas y el factor de autenticación múltiple para una mejor estrategia de seguridad.
Otro de los motivos que han llevado a Microsoft a proponer la retirada de esta política tiene que ver con los propios usuarios. Según explica, cuando se ven obligados a cambiar sus contraseñas con demasiada frecuencia, lo que hacen, en realidad, es introducir una "alteración pequeña y predecible" a la actual, o si se esfuerzan por crear una robusta, sobre todo si es difícil de recordar, "la anotarán donde otros pueden verla", llegando incluso a "olvidar sus propias contraseñas".
"Cuando una contraseña o sus 'hashes' correspondientes son robados, en el mejor de los casos puede ser difícil detectar o restringir su uso no autorizado", señala la compañía. No obstante, si una contraseña nunca ha sido robada, no es necesario que esta caduque, y si se tienen pruebas de que un tercero no autorizado ha accedido a ella, el usuario intentará tomar medidas lo antes posible, en lugar de esperar a que venza el periodo de validez.
