Todo lo que cree saber sobre contraseñas seguras es mentira

Combinar mayúsculas, minúsculas, números, símbolos... Durante más de una década se han transmitido los mismos consejos a la hora de crear una contraseña para un servicio digital.

"Es más seguro", suelen decir, alegando que para los hackers resulta más complicado acceder a una contraseña tan compleja. Algunos servicios incluso obligan a insertar tales combinaciones cuando se crea una contraseña de usuario. Y, sin embargo, todo es mentira.
Sí, es más sencillo para un ciberdelincuente hacerse con la contraseña 'edificio' que 'eDif¡ci0'.

Pero la diferencia no es sustancial. Aunque la primera se puede descifrar fácil y rápidamente con los conocidos como "diccionarios", que prueban una lista de palabras conocidas hasta que alguna coincide, la segunda no es especialmente difícil de conseguir y recoge el tipo de cambios que la mayoría hacemos en nuestras claves.
De hecho, las investigaciones de los expertos señalan que resulta más seguro que la contraseña consista en cuatro palabras aleatorias escritas sin espacios que una contraseña más corta con distintos tipos de caracteres.
Para encontrar el origen de los famosos consejos hay que remontarse al año 2003, cuando Bill Burr, perteneciente al Instituto Nacional de Estándards y Tecnología (NIST, por sus siglas en inglés), redactó un documento de ocho páginas que incluía recomendaciones como la variación de caracteres y el cambio de contraseñas cada 90 días.
Sin embargo, actualmente Burr ha confesado que no son grandes consejos. Cuando le pidieron crear las indicaciones, él demandó las contraseñas de la red interna del NIST para conocer cuáles eran las más habituales y los posibles fallos, pero se lo denegaron.

Así que, bajo la presión de tener que escribir los consejos de seguridad en poco tiempo y sin referencias, acabó recomendando las famosas directrices. "Ahora me arrepiento de mucho de lo que hice", asegura un ya jubilado Burr en declaraciones a The Wall Street Journal.
El documento de 2003 se ha reescrito recientemente partiendo de cero, omitiendo estos consejos que han estado activos casi 15 años. Bajo las nuevas directrices se aconseja que los servicios que verifiquen la identidad de una persona deben ofrecer medidores de la calidad de la contraseña a la hora de crearla y evitar que sean demasiado fáciles.
Por el contrario, apuntan que "no deben imponer otras normas de composición (como requerir la mezcla de diferentes tipos de caracteres o prohibir la repetición de caracteres) para las contraseñas.

Los verificadores no deben requerir que las contraseñas se cambien arbitrariamente (por ejemplo, periódicamente).

Sin embargo, deben forzar su cambio si hay evidencias de que se haya comprometido el autenticador".

Recomiendan también que se permita copiar un texto en el cuadro de contraseñas para facilitar su usabilidad y ver los caracteres que se han escrito, sin que se limite únicamente a los odiosos asteriscos o puntos.
Los nuevos consejos tienen en cuenta no sólo que sea más sencillo para el usuario la introducción de contraseñas en ordenadores, sino también en dispositivos móviles inteligentes, que apenas existían en 2003.

El trabajo de Burr, que tantos quebraderos de cabeza ha dado a los usuarios, ha quedado definitivamente desfasado en la era de la huella dactilar y el reconocimiento facial.

Share on Google Plus

About SFM News

This is a short description in the author block about the author. You edit it by entering text in the "Biographical Info" field in the user admin panel.
    Blogger Comment
    Facebook Comment

0 comentarios:

Publicar un comentario