En Microsoft hace tiempo que vienen cuestionando muchas de las prácticas de seguridad antiguas que aún se mantienen. Hace poco explicaron por qué no tenía sentido que las contraseñas expirasen, y hablaron sobre el problemático estado actual de la seguridad de las contraseñas.
Para la empresa, actualmente no importa mucho si se usan contraseñas muy largas o si se evitan los passwords que han formado parte de una brecha de datos, lo que sí ayuda de verdad a evitar ser hackeado es usar la autenticación multifactor.
Tu contraseña no importa
Alex Weinert, director del programa para la protección y seguridad de identidades en Microsoft, escribió recientemente un artículo en el blog de Azure titulado "Tu contraseña no importa". En él, explica cómo su investigación apunta a que los consejos actuales sobre la seguridad de las contraseñas realmente no sirven de nada frente a los millones de ataques que se sufren a diario.
Weinert dice que enfocarse en reglas sobre contraseñas en lugar de cosas que realmente pueden ayudar, como la autenticación multifactor es solo una distracción. Esos consejos de "nunca usar una contraseña que se haya visto comprometida en una brecha de datos", o "usar contraseñas realmente largas", o que las "frases de contraseñas nos salvarán" realmente no sirven de nada.
Prácticamente todos hemos recibido algún email alguna vez en el que nos explican que un servicio que usamos ha sufrido una brecha de datos y que es importante que cambiemos nuestra contraseña de inmediato. Junto a ese consejo siempre le sigue el que no usemos la misma contraseña en otros servicios y menos si se han filtrado en alguna brecha.
Weinert fue uno de los que promovió el bloqueo del uso de credenciales filtradas en los sistemas de Microsoft y Azure, pero cómo explica ahora, a pesar de eso, los hackers siguieron comprometiendo las cuentas de Microsoft en los años siguientes.
Esto se lo atribuye a que los hackers ya cuentan con múltiples métodos para hacerse con las credenciales de los usuarios, y la contraseña, en la mayoría de los casos no importa. Los hackers pueden comprar las credenciales en mercados negros, pueden usar ataques de phishing, keyloggers, extorsión, ataques locales (esas notitas donde algunos escriben sus passwords), fuerza bruta, etc. La supuesta "seguridad de la contraseña" no tiene ninguna utilidad en cualquiera de estos casos.
En Microsoft tienen que lidiar con más de 300 millones de intentos de inicio de sesión fraudulentos todos los días, Weinert dice que habilitar la autenticación multifactor, sea la que sea (SMS, soluciones biométricas, tokens físicos) bloquea el 99.9% de los intentos, incluso cuando los hacker tienen una copia del password actual del usuario.
La recomendación es usarla en todo, sea servicio de Microsoft o de cualquier otro. La cantidad de ataques lo suficientemente sofisticados como para capturar tokens en la autenticación multfactor son aún muy raros. Así que ve y activa esa verificación en dos pasos en cuanto sitio puedas, aunque sea algo fastidioso de hacer.
Ver 17 comentarios