Microsoft renunció a la caducidad de las contraseñas. A partir de ahora, no exigirá su cambio periódico tras comprobar que es una medida inútil e incluso peligrosa. Esta medida pretendía evitar que una cuenta fuera pirateada, pero según reconoce Aaron Margosis, consultor principal de la compañía en España, su efectividad es nula. “Si una contraseña no ha sido robada no hay necesidad de cambiarla. Y si hay evidencia de que ha sido robada, hay que actuar de inmediato, sin esperar a que caduque”, explica en el blog de seguridad de la compañía (Microsoft Security Guidance blog).
Para saber, por ejemplo, si una dirección de correo ha estado en manos ajenas, existen páginas web en las que se almacenan los casos detectados, como Have I been owned?, donde hay registradas más de 5.000 millones de cuentas afectadas en alguna ocasión.
Margosis reconoce el problema de las contraseñas, evidenciado en un reciente informe que desvela que solo un 15% de los usuarios utiliza métodos seguros de identificación y que la gran mayoría utiliza claves vulnerables como una sucesión de números, sus nombres o los de sus equipos o grupos favoritos.
La razón es la pereza y la dificultad para recordar contraseñas consideradas fuertes (aquellas que alternan mayúsculas y minúsculas con números y caracteres especiales). “Cuando una persona es obligada a cambiar la contraseña, realiza pequeñas y predecibles alteraciones sobre la ya usada”, escribe el consultor.
Aunque Microsoft renuncia a la caducidad, mantiene la recomendación de utilizar esas mencionadas contraseñas fuertes y recurrir siempre que sea posible a procesos de verificación en dos pasos (uso de otro dispositivo complementario para garantizar la autenticidad del usuario) o programas de reconocimiento de datos biométricos, como la cara o la huella digital.
“La caducidad periódica de la contraseña es una fórmula antigua y obsoleta con muy poco valor y creemos que no es válida dentro de nuestra política de seguridad”, reconoce Margosis.
Algunas claves usadas habitualmente son el nombre propio, el de equipos de fútbol, grupos de música o personajes de ficción. "El problema de estas contraseñas es que son transparentes. Si en las redes mostramos que una persona sigue a un equipo de fútbol o le gusta Pokemon, quien quiera acceder a nuestros datos probará con éstas o dispondrá de robots y programas para hacerlo", advierte Alejandro Martínez, experto en seguridad en la red.
Hay herramientas para hacer más seguras las cuentas y Microsoft anima a usarlas. Una de ellos el uso del token electrónico, un dispositivo que almacena o genera claves, firmas digitales o datos biométricos. Las tarjetas de crédito con lector de huellas han comenzado a implantarse y también existen teclados virtuales que cambian de posición el código cada vez que se usa. Además, hay programas gestores de contraseñas para organizar y proteger las claves, así como para crearlas de forma aleatoria aunque la mayoría de las personas no los usan.