“Su contraseña no cumple con las pautas de seguridad”: este mensaje ya no hará subir a la gente después de que se hayan actualizado las recomendaciones de contraseña. Las pautas de contraseña de 14 años de NIST se enfrentan a una revisión. Este artículo explicará por qué.

Hace un par de días, un funcionario retirado del Instituto Nacional de Estándares y Tecnología (NIST) de EE. UU. Causó cierta sorpresa: se disculpó públicamente por un documento que escribió en 2003. Este documento contenía recomendaciones para mejorar la seguridad de las contraseñas.

Innumerables organizaciones y plataformas en línea han seguido las recomendaciones emitidas por el instituto.

El problema: las personas no pueden (y no quieren) recordar una contraseña que sea segura según las recomendaciones, como „yxc ^ Vo! [“ $ §OAIS @ nrvkeu} ih5tK.-n27 \ fd “. E incluso si pudieran, todavía hay un enorme elefante en la habitación, esas contraseñas no hacen nada para aumentar la seguridad.

En las organizaciones de todo el mundo, las pautas de contraseña son motivo de frustración para los empleados. Se les obliga a cambiar su contraseña a intervalos regulares y se les pide que creen una nueva contraseña que a menudo está compuesta por reglas como:

  • Al menos 8 caracteres de longitud.
  • Algunas plataformas también tienen una longitud máxima de contraseña (por ejemplo, 16 caracteres) o imponen la colocación de ciertos caracteres, como “el primer carácter no puede ser un carácter especial”.
  • Mezcla de letras mayúsculas y minúsculas.
  • Debe contener al menos un carácter especial y un dígito.
  • no se permiten espacios en blanco.
  • No se reutilizó una contraseña que se utilizó en los últimos 12 meses


    El propósito original del documento era deshacerse de las contraseñas que eran demasiado fáciles de adivinar y reemplazarlas por contraseñas más fuertes y complejas que no se puedan adivinar. Los usuarios, por otro lado, tienden a hacer la vida lo más fácil posible. Por lo tanto, un usuario podría tener una contraseña que sea “P @ $$ w0rd”. Tiene 8 caracteres de longitud, contiene letras mayúsculas y minúsculas, tres caracteres especiales y un dígito, cumpliendo con todas las pautas de contraseña. Después de tres semanas, se le pide que cambie la contraseña. Pero, como los humanos tienden a hacerse la vida más fáciles, a menudo solo usan una iteración como “P @ $$ w0rd2”. Tres semanas después, es “P @ $$ w0rd3”, y así sucesivamente.
     

    Este procedimiento, junto con las pautas mencionadas anteriormente, ha dado lugar a contraseñas que, en el mejor de los casos, son difíciles de tratar para los seres humanos, pero fáciles de romper para una computadora. 

    Si se conoce un determinado conjunto de criterios, una computadora puede descartar grupos completos de contraseñas potenciales. Si una computadora puede asumir que una contraseña tiene 16 caracteres de longitud como máximo, y el primer carácter no va a ser un carácter especial, entonces esto ya excluye un par de millones de combinaciones.Si el sistema sabe que solo hay un carácter especial presente (de los cuales se excluyen varios, como un espacio en blanco o diéresis), esto reduce el número si es posible la contraseña aún más. Los diccionarios y las tablas de arco iris simplifican aún más la tarea para una computadora.

    Cuando se tiene en cuenta que el poder de cómputo asequible aumenta constantemente, queda claro por qué es necesario cambiar las reglas actuales.

¿Qué es nuevo?

La publicación actualizada propone cambios que sonarán como música para los oídos de las personas que han estado luchando toda su vida con contraseñas complejas. Se hace especial hincapié en el uso de contraseñas que son fáciles de recordar.

Deben tener al menos 8 caracteres; no se especifica una longitud máxima, pero se recomienda establecer la longitud máxima en al menos 64 caracteres. Esto eliminaría mensajes como “Su contraseña no puede tener más de X caracteres”. Algunos caracteres que a menudo no estaban permitidos en el pasado, como los espacios en blanco, también deberían permitirse ahora.

Hacer cumplir un cambio de contraseña después de un cierto tiempo también sería, según el NIST, algo del pasado. En cambio, los cambios de contraseña solo se deben hacer cumplir si hay indicaciones de que una contraseña se ha comprometido (por ejemplo, a través de phishing u otros medios), o si el usuario solicita un cambio porque perdió su contraseña. Además de esto, se favorece la autenticación de múltiples factores.

En muchas empresas esto ya es común, pero no a gran escala. Algunas plataformas en línea también ofrecen “verificación en dos pasos” para iniciar sesión en una cuenta, que consiste en el nombre de usuario y la contraseña y una contraseña de un solo uso adicional generada por una aplicación especializada. En cualquier caso, un usuario siempre necesita varias cosas para poder acceder a un recurso o cuenta.

Se desaconseja el uso de mensajes de texto (SMS) como medio de transmisión del segundo factor de autenticación, por motivos de seguridad. Hemos cubierto el tema en el pasado y nos complace ver esas recomendaciones.

¿Qué significan esas recomendaciones para los usuarios y proveedores?

Es importante mencionar que la publicación NIST contiene recomendaciones que no son legalmente vinculantes. Muchos proveedores de servicios tienden a seguir las recomendaciones del NIST. Hasta que las recomendaciones no se hayan implementado, los usuarios no notarán muchos cambios. Muchos proveedores de servicios y administradores seguirán dependiendo de la autenticación clásica con nombre de usuario y contraseña, pero podemos esperar que MFA se utilice con más frecuencia que en la actualidad, al menos cuando se trata de los principales proveedores de servicios.

Algunas de las reglas actuales (contraseña) pueden estar un poco relajadas. Quienes ejecutan servicios en línea deben asegurarse de que las contraseñas se procesen de manera segura. Por cierto: los proveedores acreditados nunca almacenarán las contraseñas reales en sus bases de datos ni las almacenarán con un simple cifrado.

Ha habido casos en el pasado donde la contraseña se almacenó en texto plano. Esto solía ser el caso en algunos foros de discusión. Al hacer clic en el enlace “Olvidó la contraseña” en la página de inicio de sesión, se le envió la contraseña que había establecido.

Este es un indicador claro de que las contraseñas no son seguras correctamente. Incluso las principales plataformas se han deslizado en el pasado: a raíz de una gran pérdida de datos en la red de carrera “LinkedIn”, resultó que las contraseñas estaban mal escritas, como es una práctica adecuada, pero el algoritmo de hash utilizado para esto no se considera estar seguro ya Las medidas propuestas pueden parecer demasiado cautelosas, pero los casos recientes han demostrado que son perfectamente apropiados: el hardware diseñado para entrar en cifrado y el hashing puede probar miles de millones de combinaciones cada segundo hasta que encuentre una coincidencia.

Las nuevas regulaciones dejan claro que la seguridad adecuada de la cuenta no es solo la tarea del usuario. Los proveedores también están obligados a hacer un esfuerzo. En lugar de obligar a los usuarios a aceptar pautas de contraseña cada vez más complejas (que no solo no aumentan la seguridad sino que también se evitan mediante la reutilización de contraseñas y el uso de iteraciones de contraseña), la seguridad de las cuentas en línea solo se puede lograr mejorando el servidor. Seguridad e introducción de métodos de autenticación alternativos o adicionales. Si una contraseña se ve comprometida a través del phishing, no importa cuán buena y compleja sea la contraseña.

Una puerta reforzada también es de poca utilidad si está abierta todo el tiempo o si todos saben dónde está escondida la llave. Lo que se puede decir con seguridad es que a la larga, las contraseñas por sí solas no serán suficientes para asegurar un recurso. A medida que la capacidad de computación se vuelve más asequible y el hardware se vuelve más potente, es solo una cuestión de tiempo y dinero para un atacante determinado comprometer una contraseña con éxito. Tener y un método de autenticación adicional eleva la barra y mejora sustancialmente la seguridad.

¿Qué contraseña utilizo entonces?

Si se ha acostumbrado tanto a las contraseñas complejas que se siente incómodo al usar cualquier otra cosa, entonces no necesariamente tiene que salir de su camino, pero al menos no tendría que cambiarla regularmente. Para todos los demás el cielo es el límite.

Si lo desea, puede usar oraciones completas, incluidos espacios en blanco y otros caracteres especiales; en otras palabras, puede usar una frase de contraseña. No hay reglas de composición para esos. Aún así, una contraseña o frase de contraseña no debería ser fácil de adivinar. Una frase de contraseña que es particularmente difícil de adivinar es, por supuesto, lo más larga posible, pero no demasiado larga para recordarla fácilmente.

La longitud sigue siendo uno de los factores que definen una contraseña segura. Sin embargo, una contraseña nunca debe tener menos de 8 caracteres. Para aquellos que ya se regocijan y piensan “Finalmente, no hay más contraseñas inútiles”, todavía hay una pequeña mosca en el ungüento: las contraseñas como su cumpleaños, “123456”, “abcdef”, “aaaaaaa” o “qwertzuiop” siguen siendo un es una mala elección para una contraseña y puede ser incluido en la lista negra por un proveedor de servicios o administrador.

La regla de no reutilizar la misma contraseña para múltiples propósitos (por ejemplo, para correo electrónico, redes sociales y tiendas en línea) sigue vigente.

Cada servicio debe tener su propia contraseña o frase secreta. Si está disponible, sería una buena idea habilitar un segundo método de autenticación.

Para realizar un seguimiento de todas las contraseñas, un administrador de contraseñas sigue siendo una herramienta muy útil.

Cuatro consejos para asegurar tus cuentas.


Si una plataforma ha implementado las nuevas recomendaciones, hay algunos consejos simples que lo ayudan a aumentar la seguridad de su cuenta:

  • Use una frase de contraseña suficientemente larga (por ejemplo, “aStrangeGame – the1WinningMove is NotToPlay!”
  • – tenga en cuenta que tiene 44 caracteres, contiene caracteres especiales y es fácil de recordar)
  • Habilitar la autenticación de varios pasos (autenticación de múltiples factores), si está disponible
  • Nunca reutilice una frase de contraseña para varias cuentas
  • Usa un administrador de contraseñas
Fuente: www.gdatasoftware.com