8 meneos
74 clics
Microsoft ha eliminado su política de cambio planificado de contraseña en Windows 10 [ENG]
La recomendación de Microsoft de no forzar cambios de contraseña de usuario de forma planificada estará a partir de ahora en su guía de seguridad oficial publicada para clientes de Windows. Esto evita décadas de “conocimiento común” en contra de la evidencia que dice que en realidad es perjudicial para la seguridad. Aunque NIST ya había hecho esta recomendación, es importante remarcar el cambio en sistemas Windows.
|
comentarios cerrados
Hasta los huevos de sitios web que me pidan cambiar la contraseña y se acuerden de las antiguas. Se merecen acabar en un postit enganchado al monitor.
- Calentito123
- ERROR. Contraseña incorrecta. Introduzca su contraseña:
- Calentito123
- ERROR. Contraseña incorrecta. Introduzca su contraseña:
- Calentito123
- ERROR. Contraseña incorrecta. Su cuenta se ha bloqueado. Recibirá un email para reiniciarla.
...Abriendo email... accediendo al link...
- Introduzca su NUEVA contraseña:
- Calentito123
- ERROR. La nueva contraseña no puede ser igual a la anterior.
security.stackexchange.com/questions/139738/company-can-tell-if-new-an
Si el cifrado es bueno, no pueden saber si la nueva es similar o no a la antigua. Si comparan las claves sin cifrar, significa que han de tenerlas en texto plano o descrifrable en alguna parte, lo cual también es mala práctica. La única opción que veo posible sin cargarse demasiado los protocolos de seguridad es que lo comprueben en texto plano cuando te obligan a meter la antigua para cambiarla, como dice el del enlace, pero esto te sirve solo para el último cambio, así que puedes ir iterando entre dos estrategias.
www.tenforums.com/tutorials/87596-enforce-password-history-local-accou
Les intenté explicar por activa y por pasiva los problemas asociados pero nada, no había manera de hacerles entender.
Ya no me dedico a eso así que me imagino que mi sustituto pasó por el aro.