Ninguna de tus contraseñas debería ser descifrable por una computadora
Hay muchos consejos para una gestión adecuada de contraseñas: cada una de tus contraseñas debe ser segura y única; utiliza un administrador seguro para almacenar tus contraseñas; utiliza la autenticación de dos factores (2FA) para agregar una capa adicional de seguridad a tus cuentas.
Pero hay otro consejo que tiene la misma importancia que los demás: cambia tus contraseñas con frecuencia, quizás una vez cada tres meses.
Este hábito está tan arraigado que muchas empresas y organizaciones te obligan a cambiar tus contraseñas varias veces al año con el pretexto de proteger tu seguridad. Lo que pasa es que, con toda probabilidad, esto no contribuye en nada a mejorar tu seguridad.
Es posible que algunos de vosotros tengáis muy arraigada la idea de que cambiar las contraseñas varias veces al año es un pilar de tu seguridad. Después de todo, no es un consejo nuevo.
Como examinó PCMag, la práctica se remonta a mucho tiempo atrás: cuando los expertos en seguridad escriben sobre contraseñas, a menudo también escriben sobre el cambio de contraseñas. Es simplemente la forma en que se ha presentado el consejo. Pero es probable que esto se deba a que se anticipa y responde a los malos hábitos de seguridad.
Normalmente, no es necesario cambiar las contraseñas adecuadas
Cambiar las contraseñas solo tiene sentido cuando se ven comprometidas. Después de todo, si nadie conoce tu contraseña, ¿Por qué cambiarla? Aun así, las contraseñas se descifran todo el tiempo. Por lo tanto, puede parecer lógico cambiar de contraseña con frecuencia: nunca se sabe cuál de las contraseñas se puede adivinar, ¿Verdad? Así que es mejor mantener alerta ante los actores maliciosos.
Pero retrocedamos un poco: no hay ninguna razón por la que tus contraseñas deban ser adivinables. Si un hacker puede adivinar tu contraseña, es una contraseña incorrecta y en primer lugar no deberías haberla usado. Iré un paso más allá y diré que ninguna de tus contraseñas debería ser descifrable por una computadora, al menos no en un período de tiempo en el que eso importe.
Una buena contraseña, es decir, una contraseña segura y única, es inherentemente indescifrable. Debe ser larga, variada y no debe utilizarse en ninguna otra cuenta. No debería importar si es vulnerada la seguridad de las empresas que controlan una de tus cuentas, porque esta contraseña es diferente a aquella.
Puedes usar una herramienta como el comprobador de contraseñas de Bitwarden para ver cuánto tiempo tarda un ordenador en descifrar distintas contraseñas. "Apañados" tarda ocho segundos en descifrarse. "Apañadosbuenacontraseña" tarda siglos.
Si su contraseña es segura y única, y teóricamente lleva más tiempo que una vida humana descifrarla, no hay necesidad de cambiarla en tres meses. No es necesario cambiar la contraseña cada año. No es necesario cambiar la contraseña por un período determinado, a menos que se presente una amenaza real.
Cuándo cambiar la contraseña
No digo que nunca debas cambiar tu contraseña. Sin embargo, definitivamente debes cambiarla si la conocen otras personas. La mayoría de las veces, eso sucede cuando la empresa que tiene tu cuenta sufre una filtración de datos. Supongamos que AT&T sufre una gran vulneración de seguridad y los datos de autenticación de los usuarios se filtran en la red oscura. En ese caso, deberías cambiar tu contraseña lo antes posible. En un evento como este, la empresa en cuestión probablemente te dirá que hagas lo mismo, e incluso puede ofrecerte beneficios adicionales para compensar el inconveniente de que tus datos se hayan filtrado.
Por supuesto, las filtraciones de datos no son las únicas ocasiones en las que se descubren contraseñas seguras. El malware es otra amenaza a la que hay que prestar atención. Si caes en una estafa de phishing, por ejemplo, y descargas malware en tu computadora, este puede monitorear y robar tus contraseñas de cuentas confidenciales. O bien, pueden engañarte para que abras una versión falsa de un sitio web en el que tienes una cuenta, escribas tu nombre de usuario y contraseña en ese sitio y listo: contraseña comprometida.
En estos casos, tu contraseña segura y única ha caído en desuso, así que sí, es hora de cambiarla. Pero a menos que haya una razón real para hacerlo, no necesitas molestarte en cambiarla.
Para que quede claro, no estás poniendo en riesgo tu seguridad si cambias tus contraseñas. De hecho, es posible que ni siquiera tengas otra opción si tu empresa u organización te exige cambiar tu contraseña cada cierto tiempo. Pero mientras todas tus contraseñas sean seguras y únicas, y ninguna de ellas esté comprometida, solo te estarás dando más trabajo sin ningún beneficio real.
Consejos de seguridad que no te harán perder el tiempo
¿Quieres obtener beneficios reales en materia de seguridad? Guarda todas esas contraseñas seguras y únicas en un gestor de contraseñas seguro. De esa manera, solo tendrás que recordar una contraseña segura y única: la clave maestra de tu gestor de contraseñas.
Además, utiliza la autenticación de dos factores (2FA) siempre que sea posible. La autenticación de dos factores requiere un dispositivo de confianza para la autenticación secundaria después de proporcionar la contraseña correcta. De esa manera, incluso si un actor malintencionado conoce tu contraseña, no podrá entrar sin tener acceso a tu dispositivo de confianza. (Solo prioriza una aplicación de autenticación o una clave de seguridad sobre la autenticación por SMS).
Si es una opción para tus cuentas, es posible que también desees explorar las claves de acceso en lugar de las contraseñas. Las claves de acceso combinan de manera eficaz la comodidad de las contraseñas con la seguridad de la autenticación de dos factores: generan una clave en tu dispositivo de confianza, que se requiere al iniciar sesión en un sitio. De esa manera, no hay contraseñas que robar. Siempre que te autentiques en el dispositivo (por ejemplo, mediante Face ID o un PIN), estarás dentro.
Mientras te asegures de que cada una de tus cuentas esté protegida siguiendo estos pasos y estés al tanto de cualquier filtración de datos, no hay motivo para preocuparse por cambiar tus contraseñas cada tres meses. Mantente seguro.
