Cada vez que se produce un ataque hacker, inmediatamente los dueños de la web o plataforma de servicios emiten el mismo mensaje señalándonos que debemos cambiar de contraseña. Y de hecho hay muchos expertos en seguridad que recomiendan que modifiquemos el password a menudo, ya que de esa forma será más difícil para un hacker rastrearnos y piratearnos el sistema. Pero, ¿es esto verdad? Según señaló Lorrie Cranor, ex-profesora en la Universidad Carnegie Mellon y jefe de tecnología en la FTC, la Comisión Federal de Comercio de los EEUU, es lo peor.
Cada 60 días
Cranor se sorprendió al ver en 2016 un tweet de la FTC que animaba a cambiar las contraseñas "a menudo, haciéndolas largas, fuertes y únicas". Para Cranor, experta en seguridad, esto no era un buen consejo, y se sumaba al hecho de que los seis passwords del gobierno que usaba debía cambiarlos cada 60 días. Cuando acudió a sus superiores de la FTC para informarles que esta práctica empeoraba la seguridad, ellos le pidieron que probara su teoría. Y la experta se basó en un estudio publicado en 2010 de investigadores de la Universidad de Carolina del Norte para ello.
La base del estudio había sido pedir a 10.000 participantes entre estudiantes, trabajadores y personal facultativo de la Universidad que cada tres meses cambiasen todas sus contraseñas. El resultado de la prueba arrojaba la conclusión de que las nuevas contraseñas en muchos casos eran en realidad leves modificaciones de las contraseñas anteriores, como por ejemplo cambiar una letra minúscula por una mayúscula
tarheels#1 > tArheels#1 > taRheels#1
O sustituir el dígito por otro nuevo que en realidad es también el siguiente en la sucesión numérica, lo que muestra un patrón en cuanto a crear un password nuevo partiendo de cambios mínimos en uno viejo:
tarheels#1 > tarheels#2 > tarheels#3
Algoritmos de cambio
Con estos resultados, los investigadores de ese estudio crearon algoritmos que fueron capaces de prevenir cambios en las contraseñas, y de esta moda simular lo sencillo que era piratear las contraseñas usando estos algoritmos. Con un ordenador normal pudieron piratear un 17% de los passwords de los 10.000 usuarios en menos de 5 intentos, y con una supercomputadora crackearon el 41% de las contraseñas en menos de 3 segundos.
Junto con este estudio y la opinión de la experta de la FTC, otras organizaciones y agencias han publicado conclusiones sobre el hecho de que cambiar a menudo los passwords es algo tan inefectivo como contraproducente para el fin último de las contraseñas, dado que el usuario tiende a 'reciclar' viejos passwords para obtener nuevos, sobre todo cuando se lo piden tras un ataque o, como en el caso de estos organismos americanos, cada cierto tiempo.