A partir de ahora, no exigirá su cambio periódico tras comprobar que es una medida inútil e incluso peligrosa.
Esta medida pretendía evitar que una cuenta fuera pirateada, pero según reconoce Aaron Margosis, consultor principal de la compañía, su efectividad es nula. “Si una contraseña no ha sido robada no hay necesidad de cambiarla. Y si hay evidencia de que ha sido robada, hay que actuar de inmediato, sin esperar a que caduque”, explica en el blog de seguridad de la compañía.
Margosis reconoce el problema de las contraseñas, evidenciado en un reciente informe que desvela que sólo un 15% de los usuarios utiliza métodos seguros de identificación y que la gran mayoría utiliza claves vulnerables como una sucesión de números, sus nombres o los de sus equipos o grupos favoritos.
La razón es la pereza y la dificultad para recordar contraseñas consideradas fuertes (aquellas que alternan mayúsculas y minúsculas con números y caracteres especiales). “Cuando una persona es obligada a cambiar la contraseña, realiza pequeñas y predecibles alteraciones sobre la usada”, escribe el consultor.
Aunque Microsoft renuncia a la caducidad, mantiene la recomendación de utilizar esas mencionadas contraseñas fuertes y recurrir siempre que sea posible a procesos de verificación en dos pasos (uso de otro dispositivo complementario para garantizar la autenticidad del usuario) o programas de reconocimiento de datos biométricos, como la cara o huella digital.
“La caducidad periódica de la contraseña es una fórmula antigua y obsoleta con muy poco valor y creemos que no es válida dentro de nuestra política de seguridad”, reconoce Margosis.
Fuente: El País
