Tecnología

Microsoft acaba con la obligación de cambiar la clave de forma periódica en Windows 10

Microsoft ha decidido eliminar su política de caducidad de contraseñas, que obliga a los usuarios de Windows a cambiar sus claves de forma periódica, al entender que plantea una protección ante un posible robo de credenciales y problemas en los usuarios para determinar una calve robusta.

En el borrador de los ajustes de seguridad para Windows 10 v1903 y Windows Server v1903, la compañía ha incluido la propuesta de eliminar las políticas de expiración de contraseña, que solicitan al usuario el cambio de la misma de forma periódica. Esta estrategia se ha entendido como una defensa contra "la probabilidad de que una contraseña sea robada durante su intervalo de validez" y sea utilizada por un tercero.

Por defecto, Windows insta sus usuarios a modificar la contraseña de inicio de sesión cada 42 días por motivos de seguridad, en caso de que un tercero haya logrado hacerse con ella. No obstante, y como explica en su blog, se trata de un periodo de tiempo "ridículamente largo" para evitar que un cibercriminal haga uso de la credencial robada.

Microsoft menciona investigaciones recientes que cuestionan el valor las políticas de caducidad de contraseñas y que, en cambio, apuntan a alternativas como la imposición de listas de contraseñas prohibidas y el factor de autenticación múltiple para una mejor estrategia de seguridad.

Para evitar "alteraciones predecibles"

Otro de los motivos que han llevado a Microsoft a proponer la retirada de esta política tiene que ver con los propios usuarios. Según explica, cuando se ven obligados a cambiar sus contraseñas con demasiada frecuencia, lo que hacen, en realidad, es introducir una "alteración pequeña y predecible" a la actual, o si se esfuerzan por crear una robusta, sobre todo si es difícil de recordar, "la anotarán donde otros pueden verla", llegando incluso a "olvidar sus propias contraseñas".

"Cuando una contraseña o sus 'hashes' correspondientes son robados, en el mejor de los casos puede ser difícil detectar o restringir su uso no autorizado", señala la compañía. No obstante, si una contraseña nunca ha sido robada, no es necesario que esta caduque, y si se tienen pruebas de que un tercero no autorizado ha accedido a ella, el usuario intentará tomar medidas lo antes posible, en lugar de esperar a que venza el periodo de validez.

WhatsAppWhatsApp
FacebookFacebook
TwitterTwitter
Linkedinlinkedin
emailemail
imprimirprint
comentariosforum0
forum Comentarios 0
Deja tu comentario
elEconomista no se hace responsable de las opiniones expresadas en los comentarios y los mismos no constituyen la opinión de elEconomista. No obstante, elEconomista no tiene obligación de controlar la utilización de éstos por los usuarios y no garantiza que se haga un uso diligente o prudente de los mismos. Tampoco tiene la obligación de verificar y no verifica la identidad de los usuarios, ni la veracidad, vigencia, exhaustividad y/o autenticidad de los datos que los usuarios proporcionan y excluye cualquier responsabilidad por los daños y perjuicios de toda naturaleza que pudieran deberse a la utilización de los mismos o que puedan deberse a la ilicitud, carácter lesivo, falta de veracidad, vigencia, exhaustividad y/o autenticidad de la información proporcionada.