3 may. 2019

Cambio de políticas de Microsoft respecto a las contraseñas

Lo decía en mi webinario de la semana pasada: desde la versión 1903 de Windows, Microsoft comienza a decir adiós a cambiar de contraseña. La empresa que ha llegado a la conclusión que forzar a sus usuarios a cambiar de contraseña cada semana, o cada mes, no tiene ni mucho menos la eficacia esperada.

El gigante considera que:
Los cambios de contraseña que los usuarios hacen obligados, las vuelven predecibles.
Ya no se recomienda que las contraseñas expiren.
Esta práctica es obsoleta y de poco valor.
Así se desprende del documento Windows-10-1903-Security-Baseline-DRAFT donde se recolectan configuraciones recomendadas, copias de seguridad de GPO, informes de GPO, scripts para aplicar configuraciones a GPO locales, archivos de reglas de Policy Analyzer para cada línea de base y para el conjunto completo, y hojas de cálculo que documentan todos los GPO disponibles.

Hasta ahora los usuarios (pero sobre todo las empresas) que instalaban Windows 10, tenían la opción de indicar al sistema que les obligase a establecer una política de contraseñas que "expiraban". Con la nueva actualización del último sistema operativo de Microsoft, esto dejará de ser así y para cambiar de contraseña de forma periódica, el usuario deberá hacerlo de forma manual.

¿A qué viene este cambio en una política que sobre el papel, no hace sino mejorar la seguridad de una cuenta? En Redmond aseguran que en realidad, esta política de seguridad no sirve prácticamente para nada. Afirman que normalmente cuando el usuario determina cuál será su contraseña maestra, lo único que realiza cuando se le obliga, son pequeños cambios sobre la misma.

Cambios, que según el gigante del software, tienen dos problemas principales: el primero es que casi siempre son meramente incrementales y por lo tanto, fácilmente deducibles por un atacante que tenga cierta habilidad. El segundo, que en muchas ocasiones el usuario llega a olvidar en qué parte de la contraseña original, o qué secuencia ha establecido en ese cambio, lo cual le fuerza a tener que recuperar la misma.

Tiene cierto sentido. Las políticas de contraseñas que expiran se implementaron en un principio para hacer frente a situaciones en las que un hacker podía haber robado una contraseña. Pero si ese fuera el caso, ¿por qué esperar a que la contraseña caduque antes de cambiarla? Y si no ha sido comprometida, ¿por qué cambiarla innecesariamente, haciéndola aún más susceptible de ser pirateada?

Es importante señalar de la misma forma, que esto es lo único que cambia en la política de contraseñas de Microsoft. El resto de medidas de seguridad relativas a las mismas, se mantendrán inalteradas.

Fuente: MuySeguridad

1 comentario:

  1. Como siempre lo dije: demasiada seguridad es equivalente a ninguna seguridad

    ResponderEliminar

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!