Microsoft elimina la caducidad periódica de las contraseñas de sus usuarios
Argumenta, tras una investigación, que este método no es tan efectivo como imponer una lista de credenciales prohibidas o el factor de doble autenticación.
Microsoft ha decidido eliminar las políticas de caducidad de las contraseñas. Es decir, los usuarios ya no necesitarán cambiarlas cada cierto tiempo por motivos de seguridad. Y, es que, tal y como expresa Aaron Margosis, consultor de Microsoft, en el blog oficial de la compañía, “cuando éstos están obligados a cambiarlas, con demasiada frecuencia hacen alteraciones pequeñas y predecibles o, por el contrario, tienden a olvidarlas”.
Sin embargo, la tecnológica de Redmond no elude la complejidad que tienen los problemas de seguridad en las credenciales. Parece aceptar, con esta publicación, que el método existente no era la solución correcta para eliminar estos riesgos. “Una investigación científica reciente pone en tela de juicio el valor de muchas prácticas de seguridad, como las políticas de caducidad, y, en cambio, apunta a mejores alternativas como la imposición de listas de credenciales prohibidas y el factor de múltiple autenticación. Si bien recomendamos estas alternativas, no se pueden expresar ni imponer con nuestras líneas de base de configuración recomendadas”.
Así, Microsoft asegura que elimina esta política de expiración de contraseñas para “tratar de evitar malentendidos evitables” y porque solo es una defensa contra la probabilidad de que una contraseña sea robada durante su intervalo de validez y sea utilizada por una entidad no autorizada. “Si una contraseña no es robada, no hay necesidad de caducar”.
