Parte de lo que creíamos saber sobre contraseñas seguras es incorrecto

Los 10 mandamientos de una contraseña segura es un artículo donde recogíamos las principales consideraciones del sector en relación con la fortaleza de estas combinaciones de números, letras y caracteres que deben proteger el acceso a nuestras cuentas. Como suele ser habitual, estas consideraciones cambian con el paso del tiempo, aunque no pensábamos que podíamos estar tan equivocados. Un documento publicado recientemente pone de manifiesto que parte de lo que creíamos saber sobre contraseñas seguras es incorrecto.

NIST (the National Institute of Standards and Technology), es el organismo encargado de promover la innovación y la competencia industrial en Estados Unidos. Para ello, promueven avances en metodología, normas y tecnología que sirvan, en general, para la mejora de la estabilidad económica y la calidad de vida. Su sede está situada en Gaithersburg, Maryland, aunque tiene laboratorios por todo el país.

Precisamente, ese organismo es el que ha publicado un borrador que sirve de guía para la creación y mantenimiento de contraseñas seguras. Lo curioso de todo, es que echa por tierra mucha de las cosas que hasta ahora asumíamos con verdad y podría dar un vuelco completo a la forma en que protegemos nuestras cuentas. Esto es debido a que los dictámenes de este organismo suelen influenciar notablemente a muchas empresas y profesionales de la seguridad.

Esto es lo que propone el NIST sobre contraseñas seguras

Este es un resumen de lo que propone el NIST sobre las contraseñas segura y su uso:

No más cambios periódicos y regulares

Una de las consideraciones que siempre se habían apuntado está relacionada con el cambio periódico en el tiempo de las contraseñas. Durante mucho tiempo se ha podido comprobar que el cambio regular de las contraseñas de forma obligatoria no mejora la seguridad. Es más, todo indica que incluso puede ser contraproducente el cambio de la contraseña cada cierto tiempo de manera regular. Esto debería eliminar la obligación que imponen algunas aplicaciones o plataformas de cambiar la contraseña cada cierto tiempo.

No más imposición de letras, números y caracteres

Es algo habitual que cuando nos registramos en un portal, se nos indique que es necesario introducir una contraseña con una serie de requisitos. Entre ellos, encontramos aspectos como la longitud, la existencia de minúsculas y mayúsculas, de caracteres especiales o de números. Según el NIST, esto impide que los usuarios desarrollen la creatividad para crear contraseñas menos seguras.

Validación automática de contraseñas recién creadas

Una medida de seguridad de las que propone el NIST pasa por validar las contraseñas recién creadas de manera automática. Eso se haría comparando la que acabamos de introducir con un listado actualizado de las más utilizadas. En caso de repetirse, la plataforma no nos debería dejar seguir adelante y nos debería obligar a cambiarla por otra segura. Esto evitaría que muchos siguieran usando “123456” como contraseña.

Estos tres cambios aportan una visión diferente de la que teníamos hasta la fecha. Antes de las normas de seguridad publicadas por el NIST, lo normal era recomendar el cambio periódico de contraseñas cada cierto tiempo y también existía cierta rigidez a la hora de obligar a usar mayúsculas, números o caracteres.

Desde VentureBeat intentan buscar explicación a la no trascendencia de los cambios propuestos por el NIST. En primer lugar, parece existir cierto hartazgo general con todo lo que tiene que ver con contraseñas seguras, consejos de contraseñas seguras, recomendaciones de seguridad y un largo etcétera de artículos y publicaciones similares.

En segundo lugar, la aceptación casi generalizada de las soluciones de autenticación en dos factores, reduce la necesidad de contar con una contraseña ultra-segura. Es decir, sigue siendo muy recomendable cumplir con las principales premisas de seguridad, pero una contraseña menos segura “podría valer” si le acompaña un robusto sistema de segunda autenticación.

Entonces, ¿cómo creo una contraseña segura?

Por esto último que acabamos de comentar, es especialmente importante activar la doble autenticación siempre que sea posible. Los principales servicios y plataformas del mercado lo tienen disponibles (aquí hablamos de Facebook o Google, por ejemplo). Este sistema utiliza una segunda capa de seguridad que puede ser en forma de otra contraseña generada aleatoriamente y que recibiremos por correo, llamada, mensaje o aplicación; o bien algún hardware que sirva para validar que somos nosotros (llave USB).

Además de todo esto, seguiremos cumpliendo algunas recomendaciones de seguridad tales como la longitud. El NIST pone en especial consideración este aspecto y recomienda a los usuarios apostar por contraseñas muy largas, todo lo largas que sea posible en cada sistema. Por ello, no ven que se deben imponer demasiadas limitaciones al uso de contraseñas muy largas en los diferentes sistemas.

Finalmente, apuestan por la complejidad. Los administradores de sistemas deben permitir el uso de cualquier tipo de carácter, número o letra, bien en mayúscula o en minúscula sin limitaciones. De esta forma, los usuarios pueden exprimir su creatividad para concebir combinaciones más seguras.

Fuente: venturebeat | adslzone