El Instituto Nacional de Estándares y Tecnología (NIST) actualizó recientemente su guía sobre contraseña Túrnense y desaconsejen la práctica estándar de exigir a los usuarios que cambien sus contraseñas cada 30, 60 o 90 días, a menos que la organización sufra una violación de datos. Esto representa un cambio importante respecto de la tradicional ciberseguridad Políticas destinadas a prevenir infracciones mediante cambios frecuentes de contraseña. Sin embargo, la nueva posición del NIST puede parecer contradictoria con las necesidades del mundo real de las organizaciones centradas en reducir los riesgos de seguridad.
Comprender la rotación de contraseñas
La rotación de contraseñas se refiere a la práctica de cambiar las contraseñas periódicamente para reducir el riesgo de acceso no autorizado a información confidencial. Hay dos tipos básicos de rotación de contraseñas: manual y automática.
La rotación manual de contraseñas requiere que los usuarios actualicen sus contraseñas en intervalos específicos, mientras que la rotación automática de contraseñas depende de la tecnología. Generar contraseñas Y reemplácelos sin intervención del usuario.
Aunque el reciclaje manual de contraseñas es una práctica común, a menudo tiene el efecto no deseado de generar contraseñas débiles y frustración del usuario. Por el contrario, la rotación automática de contraseñas mejora la seguridad al generar periódicamente contraseñas seguras y únicas sin la carga del usuario de tener que crearlas o recordarlas.
CEO y cofundador de Keeper Security.
NIST se alejó del ciclo manual repetitivo
Las últimas pautas del NIST desaconsejan los cambios obligatorios de contraseña cada 30, 60 o 90 días, a menos que haya evidencia de una infracción. Este cambio surge de la comprensión de que las frecuentes actualizaciones obligatorias de contraseñas pueden provocar un mal comportamiento del usuario, como la creación de contraseñas débiles o fáciles de adivinar por conveniencia.
Por ejemplo, cuando es necesario cambiar las contraseñas con frecuencia, los usuarios pueden realizar sólo modificaciones menores a una contraseña antigua, como cambiar “Contraseña1” por “Contraseña2”, lo que debilita la seguridad y facilita que los atacantes adivinen las credenciales utilizando técnicas como el relleno. Credenciales o bruto. Ataques de poder. Estas contraseñas también se reutilizan con frecuencia en varias cuentas.
La guía actualizada del NIST reconoce que la efectividad de los cambios frecuentes de contraseña es limitada a menos que exista evidencia específica de que las credenciales se han visto comprometidas. En lugar de centrarse en la frecuencia con la que se deben cambiar las contraseñas, el NIST ahora enfatiza el uso de contraseñas seguras y autenticación multifactor (MFA) como una forma más efectiva de mejorar la seguridad.
¿Por qué sigue siendo importante la rotación de contraseñas?
Aunque el NIST recomienda reducir la rotación obligatoria de contraseñas, sigue siendo relevante en ciertos contextos, especialmente para cuentas privilegiadas con acceso a sistemas y datos confidenciales. La rotación de contraseñas puede limitar eficazmente la exposición si las credenciales se ven comprometidas. La rotación automática de contraseñas es esencial porque:
- Evita el acceso no autorizadoUsar la misma contraseña durante largos períodos de tiempo aumenta el riesgo de que un ciberdelincuente la piratee. Cambiar las contraseñas de cuentas confidenciales limita periódicamente el tiempo que les toma a los atacantes explotar las credenciales comprometidas.
- Limita el tiempo de exposición: La rotación frecuente de contraseñas reduce la cantidad de tiempo que una contraseña robada o comprometida puede usarse para dañar, cambiar o robar datos. Por ejemplo, si Recursos humanos Si la contraseña de un empleado se ve comprometida, las actualizaciones periódicas pueden reducir el riesgo.
- Reduce el riesgo de reutilización de contraseñas: El reciclaje manual de contraseñas a menudo lleva a que los usuarios reciclen o reutilicen variaciones de la misma contraseña. Los sistemas automatizados mitigan esto creando contraseñas seguras y únicas, evitando que los usuarios adopten malos hábitos.
Además, la rotación de contraseñas es fundamental para las organizaciones que tienen cuentas compartidas o utilizan contratistas, y para proteger las cuentas al salir del servicio. empleados.
El desafío de la rotación manual de contraseñas
Aunque el ciclo de contraseñas sigue siendo relevante, no todos los métodos son iguales. La rotación manual de contraseñas presenta desafíos, como fatiga del usuario, generación deficiente de contraseñas y menor generación de contraseñas. productividad. Los usuarios pueden tener dificultades para crear y recordar contraseñas nuevas y seguras y, en su lugar, eligen patrones fáciles de recordar o variaciones predecibles de contraseñas antiguas, lo que deja las cuentas vulnerables a los ataques.
Además, forzar la rotación manual de contraseñas interrumpe el flujo de trabajo. Los empleados pueden perder el tiempo intentando recordar o restablecer contraseñas olvidadas, lo que les resta valor a sus tareas laborales principales. Los cambios frecuentes sin sistemas automatizados pueden generar más frustración que seguridad.
Equilibrando la seguridad y la facilidad de uso con la rotación automatizada de contraseñas
La rotación automática de contraseñas soluciona las deficiencias de los cambios manuales de contraseña y al mismo tiempo mantiene altos niveles de seguridad. Las organizaciones pueden beneficiarse de:
- Reducir la carga del usuario: Los sistemas automatizados eliminan la necesidad de que los usuarios recuerden o creen nuevas contraseñas. Al generar y reemplazar contraseñas automáticamente, los empleados pueden concentrarse en su trabajo sin interrupciones.
- Prácticas de contraseñas más estrictas: Los sistemas automatizados garantizan que las nuevas contraseñas cumplan con los requisitos de complejidad, lo que reduce las posibilidades de que se produzcan ataques exitosos de fuerza bruta o de relleno de credenciales.
- Seguridad mejorada para cuentas premium: Las cuentas premium aprovechan al máximo la rotación automática de contraseñas, ya que las actualizaciones periódicas limitan la exposición Tiempo y garantía de que ni siquiera los expertos puedan explotar las credenciales estáticas.
- Interrupción mínima: La rotación automática de contraseñas se produce entre bastidores, lo que permite a los usuarios continuar con su trabajo sin tener que restablecer su contraseña con frecuencia.
Implemente de forma segura el reciclaje automatizado de contraseñas
Para implementar la rotación automatizada de contraseñas, las organizaciones deberían considerar el uso de una solución de administración de acceso privilegiado (PAM) que automatice la creación, rotación y almacenamiento seguro de contraseñas. Esto garantiza que las contraseñas seguras se actualicen periódicamente y se almacenen en una bóveda cifrada, a la que solo pueden acceder cuentas autorizadas según el principio de privilegio mínimo para limitar la exposición.
Adopte un enfoque moderno para la seguridad de las contraseñas
Las pautas actualizadas del NIST reflejan un enfoque más matizado para la seguridad de las contraseñas, enfatizando la importancia de contraseñas seguras y únicas al tiempo que reducen el énfasis en la rotación manual frecuente. Sin embargo, la rotación de contraseñas sigue siendo fundamental para las cuentas premium.
La rotación automatizada de contraseñas es clave para equilibrar la seguridad con la facilidad de uso en el complejo panorama de amenazas actual. Las organizaciones deben adoptar soluciones PAM modernas para implementar prácticas de contraseñas seguras sin sobrecargar a los usuarios, garantizando que los datos confidenciales permanezcan protegidos mientras se mantiene la productividad. Al adoptar la rotación automatizada de contraseñas, las empresas pueden adelantarse a las amenazas cibernéticas y proteger sus sistemas e información más importantes.
Hemos destacado los mejores administradores de contraseñas comerciales.
Este artículo se produjo como parte del canal Expert Insights de TechRadarPro, donde mostramos las mejores y más brillantes mentes de la industria tecnológica actual. Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí: https://www.techradar.com/news/submit-your-story-to-techradar-pro