La mitad de los empleados utilizan casi la misma contraseña cuando son forzados a cambiarla

La mitad de los empleados utilizan casi la misma contraseña cuando son forzados a cambiarla

Todos deberíamos saber que significa credential stuffing, además de tener en cuenta que la reutilización de contraseñas es una práctica muy peligrosa a medio plazo.

Muchos usuarios de equipos informáticos cometen el error de confiar una y otra vez en la misma contraseña para proteger recursos muy diferentes. No se dan cuenta de que si un sitio queda afectado, esos datos podrían dar acceso a su vez a otros recursos que los hackers hayan probado.

Los atacantes ni siquiera precisan hacer esto de forma manual (probar decenas o cientos de cuentas) sino que usan técnicas de credential stuffing para buscar automáticamente en bases de datos de credenciales hackeadas, hasta que consiguen una combinación ganadora.

49% de empleados repite casi la misma contraseña en cada cambio

Por eso resulta importante asegurarnos de que nuestras credenciales son únicas y por supuesto de que son resistentes a técnicas de fuerza bruta o «adivinación».

Eso sí, no es suficiente con modificar uno o dos dígitos de la contraseña cuando nos toque cambiarla, incluso si era muy buena en su día. Una encuesta reciente realizada a 200 personas presenta conclusiones preocupantes.

Por ejemplo, el 72% de los usuarios admiten que han reutilizado las mismas contraseñas en su vida personal, pero además existe un 49% que ha admitido simplemente intoducir un cambio menor en las contraseñas de su empresa, cuando toca modificarlas.

Peor aún, muchos usuarios están claramente confiando en su limitada memoria humana para recordar las contraseñas (un 42% en la oficina, un 35% en su vida personal) en lugar de recurrir a otro sistema con mayor fiabilidad.

Como el usuario medio se empeña en recordar sus contraseñas -parece ser que el uso de un gestor de contraseñas aún no gusta a muchos- los cambios introducidos en las mismas son mínimos. Lógico.

Según esta encuesta (no es muy representativa en cuanto a número, pero tenemos una visión aproximada) el olvido de las  contraseñas supone un gran problema para los usuarios.

Nada menos que el 78% se vio obligado a restablecer alguna contraseña en los últimos 90 días, en cuentas personales. En el lugar de trabajo, esta cifra desciende al 57%, pero también es llamativa.

Quien escribe estas líneas posee aproximadamente 500 contraseñas únicas con formatos absolutamente demenciales y que serían imposibles de recordar por su complejidad. Eso sí, en alguna ocasión os hemos dado pautas para crear contraseñas seguras y poder recordarlas.

Conclusiones

La primera conclusión clara es que esto no debería sorprendernos. Cuando se fuerza a un usuario a cambiar contraseñas, por muy concienciado que pensemos que esté con la seguridad, es de esperar este tipo de porcentajes.

La segunda conclusión quizá no sea tan evidente para todo el mundo. Es inútil (ya lo ha dicho el propio NIST no hace tanto tiempo) cambiar contraseñas si no hay indicios de compromiso, es algo que deberíamos superar ya. Estamos haciendo trabajar inútilmente al usuario.

Fuente: Graham Cluley

Autor: Alejandro Sánchez

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.