03/08/2016 | Por Noticias TNE
Contrario a lo que muchos piensan, se ha demostrado que hacerlo en realidad resulta mucho menos seguro.
Cuando la profesora Lorrie Cranor se convirtió en Jefa de Tecnología de la Comisión Federal de Comercio, se sorprendió al leer un tuit en su cuenta oficial que recomendaba a todos los empleados “cambiar las contraseñas seguido, haciéndolas más fuertes, largas y únicas”.
Esto la impulsó a demostrar que en realidad esta medida “de seguridad” representaba todo lo contrario, de acuerdo a un gran grupo de investigadores en la materia que indican que hacerlo empeoraría todo, así que básicamente se ha vuelto en una superstición que no supera los datos duros.
Lo peor para Cranor fue el hecho de que se le pidió que todas las seis contraseñas que manejaba tenían que ser cambiadas cada 60 días.
Ante esto, la experta desempolvó el estudio que tiene los mejores datos para comprobar lo contrario, que fue publicado en 2010 por investigadores de la Universidad de Carolina del Norte en Chapel Hill, con esto pudo argumentar al CIO de la empresa que en realidad la petición que hacía a los usuarios era peor de lo que creía.
Los investigadores obtuvieron códigos criptográficos de 10 mil cuentas expiradas que alguna vez le pertenecieron a empleados, cuerpo docente y estudiantes, a quienes se les requería cambiar las contraseñas cada tres meses.
Recibieron datos no sólo de su última contraseña sino de todas las que habían tenido anteriormente.
Estudiando esta información, los expertos identificaron técnicas comunes de los usuarios cuando se les demandaba cambiar sus claves, si la contraseña principal era “tarheels#1” (el nombre del equipo deportivo de la Universidad), después ésta cambiaría a “tArheels#1” o “tarheels#11” o incluso “tarheels#2” y en la siguiente ocasión que se los pidieran cambiaría a “tarheels#3” y así sucesivamente.
De acuerdo al descubrimiento de los investigadores, las personas que tenían que cambiar su contraseña cada 90 días tendían a llevar a cabo un patrón de conducta que los llevó a hacer lo que llaman “una transformación”.
“Tomaban su vieja contraseña, hacían una pequeña modificación y de ahí creaban una nueva” afirmó Cranor.
Los investigadores crearon estas transformaciones para descubrir la forma de crear algoritmos que los llevaban a predecir estos cambios con gran precisión, los cuales fueron probados para “hackear” cuentas en el mundo real.
En los ataques en línea, donde el sistema bloquea la cuenta después de diversos intentos, el algoritmo entró al 17% de ellas en sólo cinco intentos. En ataques offline el 41% de las contraseñas fueron adivinadas en tres segundos.
