YA NO HABRÁ QUE CAMBIAR LA CONTRASEÑA DE FORMA PERÍODICA EN WINDOWS 10

La decisión se basa en investigaciones recientes que cuestionan el valor de las políticas de caducidad de contraseñas.

Una buena noticia que soluciona uno de los dolores de cabeza más grandes de las computadoras: Microsoft decidió eliminar su política de caducidad de contraseñas, que obliga a los usuarios de Windows a cambiar sus claves de forma periódica.

La empresa tomó esta iniciativa al entender que no plantea una protección ante un posible robo de credenciales y genera problemas en los usuarios para determinar una contraseña robusta.

En el borrador de los ajustes de seguridad paraWindows 10 que se publicarán en breve, la compañía ha incluido la propuesta deeliminar las políticas de expiración de contraseña, que solicitan al usuario el cambio de la misma de forma periódica.

Esta estrategia era entendida como una defensa contra "la probabilidad de que una contraseña sea robada durante su intervalo de validez" y sea utilizada por un tercero.

Por defecto, Windows insta sus usuarios a modificar la contraseña de inicio de sesióncada 42 días por motivos de seguridad, en caso de que un tercero haya logrado hacerse con ella. No obstante, y como explica en su blog, se trata de un periodo de tiempo"ridículamente largo" para evitar que un cibercriminal haga uso de la credencial robada.

Microsoft menciona investigaciones recientes que cuestionan el valor las políticas de caducidad de contraseñas y que, en cambio, apuntan a alternativas como la imposición de listas decontraseñas prohibidas y el factor de autenticación múltiplepara una mejor estrategia de seguridad.

Otro de los motivos que han llevado a Microsoft a proponer la retirada de esta política tiene que ver con los propios usuarios. Según explica, cuando se ven obligados a cambiar sus contraseñas con demasiada frecuencia, lo que hacen, en realidad, es introducir una"alteración pequeña y predecible" a la actual, o si se esfuerzan por crear una robusta, sobre todo si es difícil de recordar, "la anotarán donde otros pueden verla", llegando incluso a "olvidar sus propias contraseñas".

"Cuando una contraseña o sus 'hashes' correspondientes son robados, en el mejor de los casos puede ser difícil detectar o restringir su uso no autorizado", señala la compañía. No obstante, si una contraseña nunca ha sido robada, no es necesario que esta caduque, y si se tienen pruebas de que un tercero no autorizado ha accedido a ella, el usuario intentará tomar medidas lo antes posible, en lugar de esperar a que venza el periodo de validez.