Lo leemos en la Government’s National Technical Authority for Information Assurance, del Reino Unido, una institución que publica con frecuencia asuntos relacionados con la seguridad en el mundo digital: no es una buena idea obligar a los usuarios a cambiar contraseñas cada 30, 60 o 90 días, como muchos hacen.
En el artículo, el CESG expone el problema de forma sencilla: las personas no tienen tanta memoria como para estar recordando contraseñas diferentes y complejas constantemente, por lo que acaban creando passwords más débiles, más sencillos de adivinar, cuando tienen que estar actualizándolo a menudo. En muchas ocasiones se ha verificado que las contraseñas que se van creando son variaciones de una misma, por lo que acaba siendo sencillo descubrir la nueva si se tiene en posesión alguna de las viejas.
La caducidad regular de contraseñas como política de seguridad no es una recomendación según dicha institución. Han mostrado como la nueva contraseña suele haber sido utilizado en otras partes, y los atacantes pueden aprovecharse también de ese punto, aunque hay otros factores: la generación de una contraseña «obligada» acaba siendo más sencilla de escribir, así como de olvidarse.
Es la conclusión después de realizar un estudio sobre el efecto a largo plazo de este tipo de políticas: las contraseñas se van haciendo más débiles a medida que pasa el tiempo debido a su alta frecuencia de actualización.
Lo que allí recomiendan es invertir en herramientas de monitorización del sistema que presenten a los usuarios información sobre el último intento de acceso, por ejemplo, algo ya común en Google, Facebook y demás gigantes de Internet.