Forzar el cambio de contraseña en WordPress no es buena idea

By BylineHenry GR on

Reading time aprox: 3 minutes, 36 seconds

Forzar el cambio de contraseña en WordPress no es buena idea.

Durante mucho tiempo, los administradores teníamos la «obligación» de forzar a los usuarios a cambiar su contraseña cada …

Esto se consideraba una práctica de seguridad altamente recomendada y por tanto se aplicaba a cualquier sistema informático.

WordPress no es una excepción, si bien el administrador del sistema (SysAdmin) puede que no sea el administrador de la aplicación, este último también aplicaba esta «máxima de seguridad».

Forzar el cambio de contraseña en WordPress no es buena idea

Pero, ¿por qué aplicábamos esta norma? Pues sencillamente porque se considera que al hacer un cambio periódico en las contraseñas, se reduce el riesgo de que el sistema se vea comprometido por la publicación de una contraseña.

La idea

Al forzar el cambio de la contraseña, la ventana de tiempo en que alguien pudiera aprovechar esa contraseña perdida, se reduce.

La realidad

Casi siempre se tiende a ignorar el hecho de que el usuario es un humano, no una máquina y, por tanto, comete fallos.

La memoria del ser humano, salvo excepciones, es bastante frágil y eso lleva a que se olviden cosas y la resistencia al cambio sea alta.

Por eso, forzar el cambio de contraseña en WordPress no es buena idea.

La solución

La solución a este y otros muchos problemas informáticos, es la educación. Esta educación pasa por saber que los administradores NO son inflexibles agentes de la ley que fuerzan al usuario a cumplir con las normas.

Que el cambiar la contraseña con frecuencia es una buena práctica, es indudable, pero esto tiene dos inconvenientes llamativos.

  1. Si la frecuencia de cambio es fija, hacerse con una contraseña al principio del periodo, brindará al atacante una ventana de tiempo conocida para perpetrar su ataque.
  2. Si el usuario considera que el periodo es muy «molesto», realizará el cambio de contraseña de forma descuidada.

El razonamiento

Cuando el usuario sabe que tiene que cambiar su contraseña cada mes (por ejemplo) para evitar que se le olvide, tenderá a apuntar las contraseñas o a crear una sucesión periódica de una contraseña.

Apuntar las contraseñas no es malo, lo malo es que se haga de forma descuidada, por ejemplo en trozos de papel o «post-it» a la vista de cualquiera o, en una «libreta secreta» que se guarda en el cajón de la mesa de trabajo.

Por otro lado, cuando un usuario ha conseguido crear una contraseña segura, pero sabe que deberá cambiarla en un plazo corto de tiempo, es muy probable que su idea sea crear una sucesión periódica. Así, si el usuario tiene la contraseña: Zu1$*(l4, en muy probable que su tendencia sea la de crear contraseñas como:Zu1$*(l5, Zu1$*(l6 … y así sucesivamente, lo que desvirtúa la seguridad de la contraseña.

Entonces, ¿Qué recomiendo?

La educación suele ser el factor más decisivo en la lucha contra «los malos», un usuario que conoce sus posibilidades y sus debilidades, estará mejor preparado para afrontar imprevistos.

  • Enseña al usuario a crear contraseñas seguras, fáciles de recordar, amigables, y no tendrás que preocuparte por contraseñas re-usadas o débiles.
  • Enseña al usuario a usar las herramientas a su alcance, en este mundo informatizado, casi cualquier usuario es también usuario de un «smart phone», lo que implica que tiene a su disposición varias de las herramientas necesarias para que las contraseñas se mantengan seguras.
  • Recuerda que forzar el cambio de contraseña en WordPress no es buena idea, si no se hace de forma que el usuario pueda aprovechar ese hecho, en lugar de luchar contra él.

¿Qué es una contraseña segura?

Seguro que has escuchado muchas definiciones distintas de lo que es una contraseña segura, cosas como:

  • Debe tener al menos ocho caracteres.
  • Debe estar compuesta de letras, números y signos de puntuación.
  • Debe tener letras mayúsculas y minúsculas.
  • No puede tener más de dos caracteres consecutivos del mismo tipo.

Que sí, que sí, que todo eso está muy bien, pero ¿de que vale una contraseña tan segura si no se puede recordar? ¿De qué vale si la tengo que apuntar en un papel para recordarla?

Mejor que intentar definir y crear contraseñas seguras, enseña a no crear contraseñas inseguras, es decir, enseña que no deben usarse palabras que puedan estar en un diccionario (aunque sea de una lengua desconocida), enseña que no se usen nombres de hijos, padres, mascotas, etc., enseña que no se usen números (por largos y complejos que parezcan) fácilmente deducibles (como fechas señaladas, el DNI, el pasaporte, etc.).

Crear contraseñas seguras es fácil en WordPress, vasta con dirigirse al perfil del usuario y pulsar el botón de Establecer una nueva contraseña, el generador interno de la aplicación creará una contraseña segura, lo único que nos resta es guardar esa contraseña para usarla más tarde.

Recuerda pulsar el botón de «Actualizar perfil» en la parte inferior. 😊

solowordpressForzarElCambioDeContrasenaEnWordPressNoEsBuenaIdea01
Forzar el cambio No es buena idea

También puedes usar contraseñas creadas por ti mismo, como te conté en Construir Contraseñas Seguras para WordPress

Ahora llega la otra parte, usar las tecnologías para que nuestro esfuerzo se vea recompensado. El usuario puede hacer uso de una aplicación de su «smart phone» (una App) par guardar las contraseñas de forma segura y que nadie más pueda verlas.

Aplicaciones como por ejemplo «LastPass» que permite almacenar todo encriptado, está disponible para Android en (https://play.google.com/store/apps/details?id=com.lastpass.lpandroid&hl=es) y para iOS en (https://apps.apple.com/es/app/lastpass-password-manager/id324613447).

Y ya que estamos usando tecnología, aumentaremos la seguridad si se usa una aplicación de las llamadas de «2FA», que casi todos los plugin de seguridad permiten usar. Desde luego, cualquiera de los que citamos en Los mejores plugin de seguridad para WordPress.

Y si estás contento con tu plugin de seguridad, pero quieres añadir el segundo factor, puedes usar uno de los plugins de la lista oficial de WordPress.

Conclusión

Sea cual sea tu decisión, recuerda que el eslabón más débil de la cadena, es siempre el ser humano y, tus usuarios, son seres humanos.

Si quieres además buscar tu producto fuera de la lista, te sugiero empezar por el repositorio oficial de WordPress.

Recuerda, #QuédateEnCasa, #UsaMascarilla, #LavateLasManos, juega, experimenta y, sobre todo, ¡divertirte!

¡Gracias por leernos!


¡Tus comentarios y preguntas nos ayudan a mejorar, por favor comenta!

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

11 − 3 =

Para ofrecer las mejores experiencias, utilizamos tecnologías como las cookies para almacenar y/o acceder a la información del dispositivo. El consentimiento de estas tecnologías nos permitirá procesar datos como el comportamiento de navegación o las identificaciones únicas en este sitio. No consentir o retirar el consentimiento, puede afectar negativamente a ciertas características y funciones.    Más información
Privacidad