El NIST ha hecho pública recientemente una recomendación sustentada en un estudio sobre las contraseñas que han diseminado diversos medios informáticos, entre ellos Segu Info de Argentina.
El documento en cuestión refiere puntos clave sobre la creación y uso de las contraseñas, donde se rechazan prácticas habituales sobre el tema que se consideran obsoletas y se trazan pautas que actualizan el tema.
El documento puede resumirse en seis aspectos básicos:
1. Longitud y complejidad de las contraseñas.
Se ha seguido la práctica de “armar” contraseñas a partir de patrones como iniciar con mayúscula, terminar con números o intercalar caracteres, por lo que la práctica es deducible, aunque se supone sean difíciles de decifrar. Pero también crean problemas para recordarlas.
El NIST plantea una falla en el enfoque por el patrón “palabra+número”, “palabra+número+símbolo”. El patrón las hace predecibles. Por ello, se recomienda cambiar la complejidad por la longitud. La idea es usar frases largas, pero fáciles de recordar y a la vez más difíciles de adivinar.
La idea es combinar en una frase palabras no relacionadas e incluso añadir números que se asemejen al ejemplo siguiente: “toque-palabra-reloj-601”. La idea es imponer la longitud de la contraseña en el nuevo modelo de actuación del tema.
2. Facilitar las contraseñas largas.
Además de suprimir la práctica de imponer un número de caracteres para las contraseñas. Se pueden permitir contraseñas de 15 ó 20 caracteres, aunque una de 64 puede ser decifrada.
3. Implementar la autenticación multifactor.
El NIST considera que este tipo de autenticación no debe dejarse en el campo de lo opcional por la fortaleza que brinda en la protección de datos y el freno a las intrusiones, ya que cierra una brecha que se explota con mucha regularidad.
4. Evitar el cambio frecuente de contraseña.
Según el NIST al obligar al usuario a cambiar la contraseña con frecuencia, además de causarle molestias, facilita la debilidad de este escudo del sistema informático. Intentado cumplir con la política del sistema informático y que esto se conjugue con la facilidad de recordar se cae en debilidades de la formación y por ello, NIST plantea extender el plazo de los cambios, pero asegurando el proceso con las restantes medidas que se proponen.
5. Evitar el uso de contraseñas vulneradas.
Se recomienda aplicar prácticas entre las que destacan evitar que se reutilicen contraseñas, más aún si estas fueron comprometidas. Las contraseñas que han sido obtenidas por los ciberdelicuentes se convierten en parte de su arsenal y los usuarios no siempre recuerdan si fueron violentadas. Por ello, proponen mantener una práctica activa de bloquear el uso de contraseñas atacadas como primera prioridad.
6. Suprimir la práctica de utilizar “pistas” para recordar contraseñas.
El concepto se basa en que muchas de estas “pistas” responden a parte de la información personal de las personas que circula en las redes sociales, por ello, asociar una cosa a la otra no resulta difícil para un atacante. Por eso propone como alternativa el uso del correo electrónico y la autenticación multifactorial.
La recomendación de este Blog para apoyar la esencia de esta propuesta de cambio de mentalidad: utilizar contraseñas diferentes para los diversos servicios como elemento esencial para la actuación cotidiana.
Sobre el tema se puede ampliar el conocimiento en:
En el canal de X de Segu Info
Puede consultar en NIST Publicación Especial 800-171 (en inglés).