Microsoft elimina política de expiración de contraseñas; consideran que no sirve

El gigante de la tecnología Microsoft planea eliminar la llamada política de expiración de contraseña, por la que solicita a los usuarios de Windows cambiar sus claves de inicio de sesión de forma periódica, reportan especialistas de un curso de seguridad informática.

La compañía dio a conocer esta propuesta mediante una publicación en su blog oficial; en el texto, Microsoft menciona que su configuración de seguridad estándar dejará de solicitar a los usuarios que cambien sus contraseñas en intervalos de semanas o meses.

Este primer borrador de nuevas políticas de seguridad de la compañía incluye algunas recomendaciones que impactarían a los usuarios de redes corporativas, con el propósito primordial de evitar el uso indebido. Además, la compañía pretende restringir algunas características inherentes al sistema Windows que podrían ser útiles para los ataques de malware.

“Microsoft considera que su actual política de expiración de contraseña es una medida de seguridad obsoleta y muy poco funcional en la práctica; ya no creen que valga la pena seguir dándole difusión”, mencionan los especialistas del curso de seguridad informática.

Por su parte, un portavoz de la compañía declaró: “Esta política solamente defiende al usuario en caso de que su contraseña activa sea robada; si las contraseñas no son robadas nunca, no es necesario establecer una fecha de expiración; en caso de que su contraseña fuese robada, un usuario realizaría un restablecimiento de contraseña, no esperaría a que esta simplemente expire”.

Acorde a los especialistas del curso de seguridad informática, Microsoft desea promover entre sus usuarios la implementación de contraseñas lo suficientemente seguras para eliminar la necesidad de cambiarlas constantemente.

Especialistas del Instituto Internacional de Seguridad Cibernética (IICS) afirman que el cambio de contraseña es poco útil en caso de que la contraseña de un usuario sea robada pues, si un actor de amenazas conoce la contraseña actual de un usuario, es capaz de adivinar la próxima contraseña fácilmente.

Otras organizaciones, como el Instituto Nacional de Estándares y Tecnología (NIST) también han eliminado esta clase de políticas de protección de contraseñas, considerando que, de hecho, su impacto en la seguridad de los usuarios podría considerarse negativo.