Portada
Hace 4 años | Por mr_b a techcrunch.com
Publicado hace 4 años por mr_b a techcrunch.com

Microsoft ha eliminado su política de cambio planificado de contraseña en Windows 10 [ENG]

 techcrunch.com

La recomendación de Microsoft de no forzar cambios de contraseña de usuario de forma planificada estará a partir de ahora en su guía de seguridad oficial publicada para clientes de Windows. Esto evita décadas de “conocimiento común” en contra de la evidencia que dice que en realidad es perjudicial para la seguridad. Aunque NIST ya había hecho esta recomendación, es importante remarcar el cambio en sistemas Windows.

Etiquetas

DE3C548D-E347-406A-A60F-E6BBD322CAB7 74 14

Comentarios

ElPerroDeLosCinco

- Introduzca su contraseña:
- Calentito123
- ERROR. Contraseña incorrecta. Introduzca su contraseña:
- Calentito123
- ERROR. Contraseña incorrecta. Introduzca su contraseña:
- Calentito123
- ERROR. Contraseña incorrecta. Su cuenta se ha bloqueado. Recibirá un email para reiniciarla.

...Abriendo email... accediendo al link...

- Introduzca su NUEVA contraseña:
- Calentito123
- ERROR. La nueva contraseña no puede ser igual a la anterior.

V 6
K 73
kelonic

#3 Parece cachondeo pero me ha ocurrido

V 1
K 21
D

Hartos de que la gente añadiese el número del mes a la misma contraseña de siempre.

V 1
K 22
Aokromes

#5 los sistemas mas estrictos te rechazan eso por ser demasiado similar lol
https://security.stackexchange.com/questions/139738/company-can-tell-if-new-and-old-passwords-are-too-similar-is-there-a-security-p

V 0
K 7
D
editado

#6 Es una buena idea, pero me entra la duda de como lo consiguien.

Si el cifrado es bueno, no pueden saber si la nueva es similar o no a la antigua. Si comparan las claves sin cifrar, significa que han de tenerlas en texto plano o descrifrable en alguna parte, lo cual también es mala práctica. La única opción que veo posible sin cargarse demasiado los protocolos de seguridad es que lo comprueben en texto plano cuando te obligan a meter la antigua para cambiarla, como dice el del enlace, pero esto te sirve solo para el último cambio, así que puedes ir iterando entre dos estrategias.

V 0
K 14
D

#7 "Una cadena es tan resistente como el más debil de sus eslabones". En este caso el eslabón débil es el propio usuario. Por muy buen cifrado que tengas si de alguna manera consiguen pillarte la contraseña antigua es posible que en pocos intentos sean capaces de averiguar la nueva basándose en simple ingeniería social. Es por eso conveniente que el sistema no te deje poner como nueva contraseña una que sea muy similar a la antigua. Por ejemplo, si mi contraseña fuera "coche1" y me la descubren cuando la cambie lo primero que van a intentar es probar con "coche2", "coche11" a ver si he sido vago.

V 0
K 7
Pandemial

#6 yo pongo mes y año y nunca un problema

V 0
K 10
sorrillo

A ver si cunde el ejemplo.

Hasta los huevos de sitios web que me pidan cambiar la contraseña y se acuerden de las antiguas. Se merecen acabar en un postit enganchado al monitor.

V 1
K 19
Aokromes

#1 pues si, yo me se de gente que lo que hace es poner varias contraseñas intermedias para ver si el sistema no se acuerda de todas las anteriores para poner la de siempre.

V 0
K 7
sorrillo
editado

#2 Hasta 10 veces he intentado yo en alguna ocasión, pero a veces ni con esas.

V 0
K 11
Aokromes

#8 windows por lo visto recuerda hasta 24
https://www.tenforums.com/tutorials/87596-enforce-password-history-local-accounts-windows-10-a.html

V 0
K 7
M

A mí en auditorías externas de consultoras "reputadas" me ponían no conformidades porque yo tenía desactivada en las políticas de grupo el cambio forzoso de contraseña.
Les intenté explicar por activa y por pasiva los problemas asociados pero nada, no había manera de hacerles entender.
Ya no me dedico a eso así que me imagino que mi sustituto pasó por el aro.

V 1
K 14
HimiTsü

Ya era hora de que le entrase el conocimiento a alguien y no sólo a los que peregrinamos a Santiago a dar con las cabeza en el pilón.

V 0
K 12
Candidatas
15
meneos
tecnología Asi se hacen las cadenas mas fuertes del Mundo en Vicinay (Sestao).
13
meneos
tecnología SEAT confirma que está trabajando en un coche eléctrico de 20.000 euros
11
meneos
tecnología Las baterías gigantes están transformando la electricidad en EEUU
7
meneos
tecnología Marca frente a precio, esto distancia a Tesla del fabricante chino Chery
7
meneos
tecnología La empresa española que recicla baterías de vehículos eléctricos y las vende mucho más baratas
13
meneos
tecnología TikTok demanda al gobierno de Estados Unidos para evitar el bloqueo en el país
15
meneos
tecnología Startups españolas presentan una queja contra Microsoft por prácticas anticompetitivas en la nube
9
meneos
tecnología Un nuevo chip de silicio superpuro abre el camino a potentes ordenadores cuánticos (eng)
11
meneos
tecnología Stack Overflow banea a los usuarios en masa por rebelarse contra su asociación con OpenAI: los usuarios eliminan las respuestas para evitar que se utilicen para entrenar a ChatGPT [ENG]
7
meneos
tecnología Tres millones de repositorios de Docker Hub utilizados para difundir malware
8
meneos
tecnología Microsoft pone en evidencia a Android: 4.000 millones de usuarios en peligro
9
meneos
tecnología Construye un procesador RISC-V de 256 núcleos en su casa
21
meneos
tecnología Así es como funciona la Holotile de Disney [ENG]
9
meneos
tecnología Las ventas de coches electrificados siguen sin avanzar
6
meneos
tecnología Cuatro meses de cárcel para Changpeng Zhao, fundador del mercado de criptomonedas Binance
14
meneos
tecnología Hemos recorrido 2.500 kilómetros con un coche eléctrico y hemos aprendido algo: el diésel sigue siendo el rey
7
meneos
tecnología Las Startups españolas denuncian prácticas anti-competitivas de Microsoft ante la CNMC
7
meneos
tecnología ¿Una sola carga a la semana? Los nuevos coches eléctricos ya lo permiten
8
meneos
tecnología Optimus, el robot de Tesla, se venderá a fines de 2025: ¿qué podrá hacer y cuánto costará?
10
meneos
tecnología Microsoft alcanza un hito: firma el acuerdo más grande de energía renovable para impulsar su IA
D

Otra cosa que hay que tener en cuenta a nivel general. Las contraseñas basura. Hay montones de servicios que requieren login con usuario y contraseña. Pero no es lo mismo tu cuenta del banco que la de un foro para comentar juegos. En las que son del segundo tipo es mejor usar contraseñas basura, de usar y tirar, de forma que si de alguna manera el sitio de ve comprometido a ti no te supone mayor problema más que cambiar a otra contraseña basura o incluso crear otra cuenta si fuera necesario. El que haya robado tu contraseña basura poco va a poder hacer con ella de esta forma.

V 0
K 7