Para acceder a una cuenta de rede sociales, correo electrónico o hasta una cuenta de banco en línea el usuario debe autenticarse mediante un usuario y contraseña; esto es llamado credenciales.
En algunos sitios permiten agregar otra capa de seguridad con el propósito de demostrar que es el usuario que sometió la data para acceder a la cuenta. Estas credenciales en algún sitio tienden a expirar el tiempo de uso de contraseña por el cual se deben de cambiar cada cierto tiempo. Recordar o cambiar la contraseña cada cierto tiempo para los usuarios puede ser un dolor de cabeza ya que puede olvidarse la clave.
Otros para no tener estos problemas de olvidar sus credenciales reutilizan las contraseñas que ya habían utilizado anteriormente. Esto puede ser un problema si alguna cuenta anteriormente fue comprometida o expuesta al Internet por un error de una entidad por una mala configuración de bases de datos.
Los ciberdelincuentes realizan ataques de phishing para el robo de credenciales para tener acceso a las cuentas de los usuarios, esto es llamada cuenta comprometida. Es aquí los problemas que pueden surgir al reutilizarse las contraseñas anteriores. Aunque el usuario utilice doble factor de autenticación que puede ser un envió de token por correo electrónico, minimensaje, llamada o a través de una aplicación móvil esto al igual puede ser comprometido ya que existen diferentes técnicas para comprometer esta capa de seguridad. Estas son unas de las situaciones en las que los ataques de phishing son efectivos a usuarios que utilizan contraseñas simples y al igual no son concientizados sobre la seguridad de la información.
Es importante tener claro que es buena práctica tener una contraseña diferente por cada cuenta aparte. Existen herramientas que pueden ayudar a tener este control de manejo de contraseñas anteriores y nuevas; está en si almacena las contraseñas relacionada con cada cuenta. Algunas mantienen un historial de contraseñas anteriores para evitar la reutilización.
Utilizar doble factor de autenticación y el uso de contraseña compleja crea una mejor capa de seguridad para que una cuenta no sea comprometida a través de un ataque de fuerza bruta. Este ataque es realizado mediante un diccionario de contraseñas comprometidas para luego intentar de autenticarse a la cuenta. El tiempo de este ataque puede ser de tiempo corto si el ciberdelincuente contiene un diccionario de contraseña extenso y si el usuario usa contraseñas reutilizadas.
Hoy en día, existen más de diez mil millones de credenciales expuestas; esto significa que criminales pueden utilizar estas credenciales que fueron comprometidas con el propósito de lograr acceder a una cuenta que reutilice o no cambia sus credenciales.