Periodicidad del cambio de contraseñas
No estamos bien concienciados en la necesidad de cambiar las contraseñas periódicamente y es algo que nos obliga la LOPD en el punto 4 del artículo 93 del Real Decreto 1720/2007 de 21 de diciembre donde dice, respecto a la identificación y autenticación, lo siguiente:
«El documento de de seguridad establecerá la periodicidad, que en ningún caso será superior a un año, con la que tienen que ser cambiadas las contraseñas que, mientras estén vigentes, se almacenarán de forma ininteligible»
En este caso vamos a centrarnos en las contraseñas de acceso a los sistemas de información. Esto engloba el acceso al sistema operativo, programas de gestión e incluso claves de copias de seguridad.
Aunque pensemos que protegiendo nuestro programa de gestión tenemos la información a salvo, no será así si el acceso al sistema operativo es libre. Hay programas que mantienen la sesión abierta como correos electrónicos, carpetas compartidas y otros que confían en que la persona que se sienta en el equipo es quien dice ser.
En muchas oficinas, los empleados tienen que cambiar la contraseña de usuario para loguearse en sus computadoras obligatoriamente cada tanto tiempo, generalmente cada seis meses. También en Internet, los servicios sensibles de ser hackeados (que incluyen datos de cuentas bancarias, tarjetas de crédito y demás) piden a sus cuentas que cambien el password bastante seguido. Esta práctica, que tiene una larga tradición en el manejo de tecnologías de información, se basa en la teoría de que eliminar viejas claves de acceso para renovarlas disminuye la posibilidad de que los hackers tengan tiempo de descifrarlas.
El problema de forzar a la gente a cambiar la contraseña con demasiada frecuencia es que, para evitar problemas y olvidos, vayan eligiendo cada vez contraseñas menos seguras. Es habitual que se ponga la misma contraseña cambiando un número o una letra al final.
Aunque nuestra recomendación es cambiar la clave por una que no tenga nada que ver con la anterior, pueden recordarla haciendo unos cambios que la relacionen, es decir, cambiar el orden de números y letras, cambiar una sola letra por un número o símbolo sustituto (como cambiar E por un 3) o agregar símbolos especiales como un signo de exclamación son prácticas previsibles. De todas formas existen herramientas para predecir este tipo de cambios, por lo que tampoco es una práctica muy segura.
Las contraseñas deben cumplir con una política de complejidad establecida por la empresa como son:
– Tamaño de la contraseña
– Caracteres usados (números, letras, mayúsculas, minúsculas)
– Histórico (no repetir las últimas contraseñas ni un patrón)
– Límite de intentos erróneos (bloquear el equipo si se intenta acceder repetidas veces con una contraseña errónea)
Lo recomendable es utilizar contraseñas totalmente nuevas y almacenarlas en un gestor de contraseñas seguro. En un artículo anterior mencionamos algunos que le pueden ayudar:
Gestores de contraseñas
Por lo tanto, por parte de Aixa Corpore le recomendamos el cambio de contraseñas periódicamente sin exceder el año (recomendado 6 meses) y que no guarden relación con la anterior para evitar que puedan predecir los cambios realizados.
