Microsoft abandonará la exigencia de cambio periódico de contraseñas

Microsoft anunció algunas modificaciones a la línea de base de la seguridad de Windows, un estándar que guía las políticas sugeridas y su respectiva configuración para redes Windows. Entre las nuevas características es un cambio drástico en materia de cambios de contraseña periódicos: en lugar de requerir el cambio de contraseña cada 60 días, la nueva norma deja la necesidad de intercambios periódicos totalmente. Estas recomendaciones son utilizadas por las empresas para decidir estrategias y políticas de seguridad internas. Algunas de estas recomendaciones traen un ajuste correspondiente en Windows, permitiendo que el sistema sí mismo si encargado de garantizar el cumplimiento de la norma. En una publicación en el blog oficial de recomendaciones de seguridad, Microsoft explica que el cambio periódico de contraseñas es una antigua práctica que puede observarse con una simple configuración. Sin embargo, hay otros métodos más eficaces para garantizar la seguridad de autenticación, como el uso de autenticación de dos pasos y prohibición de contraseñas débiles y comunes. Una empresa que ha adoptado todas estas prácticas, pero que no requieren cambio periódico de contraseñas, podría ser penalizado por auditores que compruebe el cumplimiento de las normas recomendadas por Microsoft. Estas otras prácticas no se puede configurar en las políticas de Windows, por lo que no aparecen en las recomendaciones específicas de Microsoft para la configuración del sistema. No se modificarán los requisitos complejidad, tamaño mínimo y la historia de la contraseña (que prohíbe la reutilización de contraseñas anteriores). ¿Por qué cambiar una contraseña periódicamente? El propósito del intercambio periódico de contraseña es conducir un atacante que ya ha obtenido la contraseña. Si un hacker obtiene acceso a correo electrónico de un empleado después de su contraseña, periódico cambio bloquea accesos futuros este hacker. El problema con esta mentalidad, cómo explicar la publicación propia de Microsoft, es que incluso una empresa que sigue la recomendación y requiere 60 días antes del intercambio todavía expuesto el intercambio. Lo ideal en estos casos, es que se detecta la invasión y el intercambio de lugar inmediatamente. Según Microsoft, estudios científicos recientes dejan lugar a dudas acerca de posibles ganancias con intercambios regulares de contraseñas. Este argumento ha sido planteado por expertos en el área hace unos años, y el Instituto que establece normas técnicas para los Estados Unidos (NIST) también quita el requisito para el intercambio periódico recomendar intercambios solamente después de actividades fraudulentas. Aunque las recomendaciones de Microsoft están orientadas a empresas, también terminan pagando para otros servicios, incluyendo en el mundo online.