lunes, 15 de octubre de 2007

Contraseñas con duración de tres meses

Hemos escuchado en incontables ocasiones que lo "recomendable" es mantener una contraseña al menos durante tres meses, luego habrá que cambiarla. Esto significa que tendremos a usuarios que gustosos cambiarán cada tres meses su "password". ¿Por qué tres meses? ¿Por qué no cada dos meses o un mes o diario? ¿De dónde salió que cada tres meses era una buena "práctica"?

Pues bien, no sé la respuesta y si Usted la sabe, mándame en seguida un mail. La verdad es que una contraseña puede ser capturada por algún medio cualquier día de la semana (¿o en fin de semana?). Nada dicta que si cambio mi contraseña cada tres meses, entonces estará segura. Si el día de hoy apunto mi contraseña en un "post-it" y lo pego en mi monitor, alguien podrá pasar y copiar mi apreciada contraseña. Si el día de mañana decido dictar mi password a alguien que se comunicó conmigo y que me aseguró que era de "sistemas", puede ser que se la haya dictado a una persona totalmente ajena a mi organización.

Si usted es de los que configura el sistema (u ordena configurarlo) para que cada tres meses moleste al usuario y lo inste a cambiar la contraseña, entonces será uno más de los que siguen una mejor práctica de la industria...que es totalmente inútil.

Lo único que puedo pensar en el que inventó la regla de los tres meses es que entre más frecuentemente cambia mi contraseña, es menos probable que alguien la intercepte. Como ya dijimos, esta suposición es falsa, ya que cualquier día mi contraseña puede ser comprometida. Lo bueno de cambiarla es que el atacante sólo podrá usarla durante tres meses y luego tendrá que robarla de nuevo...qué alivio que sólo la haya podido usar tres meses.

¿Cuál es la solución? ¿Pedirle al usuario cambiarla cada día o mejor aún, cada hora? Definitivamente no. Habrá que buscar "nuevas tecnologías" (que de nuevas no tienen nada) como la biometría o las tarjetas "inteligentes". Lo sé, tal vez no sean lo mejor, pero al menos es una mejoría viendo lo seguro que son las contraseñas. ¿Por qué seguimos usando contraseñas en los equipos? Seguras no son, pero son muy cómodas. "juan123", "fanny" y "mellamopedro" son fáciles de recordar. ¿Quién quiere estar trayendo una molesta tarjeta inteligente? ¿Qué empresa quiere gastar en biométricos? Las contraseñas son una herencia de antaño, y seguirán con nosotros todavía un tiempo. - Por Fausto Cepeda.