Desde hace algún tiempo, muchos usuarios, repelen las prácticas que se indican para la creación de las nuevas contraseñas y su mantenimiento, a pesar de que se consideraban parte de los estándares internacionales es ese sentido.
Entre los problemas más criticados está la complejidad exigida, que provoca choques con la memorización de las “claves”. También se ha escuchado sobre el uso de las letras mayúsculas, minúsculas, los números y los símbolos.
No obstante, debe atenderse el hecho de existente prácticas inadecuadas que convirtieron en necesidad fijara las normas desde directivas de los servidores para evitar que las personas terminaran poniendo en sus credenciales nombre y fechas significativas de personas allegadas, que eran fácilmente deducible con solo acceder a sus redes sociales o aplicar una aplicación de “diccionario”.
El nuevo estándar propuesto por el Instituto Nacional de Estándares y Tecnología de EEUU (NIST por su sigla en inglés) en su publicación especial 800 – 171, ha trazado aspectos vitales que es conveniente atender con visión de futuro, porque la práctica ha demostrado que son anexadas a las restantes normas internacionales en un breve plazo de tiempo como parte de las buenas prácticas.
Si bien acogerse al pie de la letra a las propuestas de un estándar no es obligatorio, es conveniente valorar las propuestas que se hace a partir de las realidades que hoy se viven y se exigen para elevar a nuevos niveles la seguridad en el uso de las credenciales.
Al repeler lo que hasta hoy se consideraban buenas prácticas, no solo implicaba choques con normas de seguridad, sino también desventajas para mantener ambientes seguros en las TIC, pero algunas de estas prácticas según los estudios de NIST han mostrado fisuras y obsolescencia.
El nuevo estándar propuesto por NIST intenta revolucionar el entorno de seguridad de las contraseñas, que son consideradas una capa vital en el proceso de seguridad de los sistemas informáticos.
Los aspectos generales planteados por el estándar NIST SP 800 – 171 son:
1. Lo esencial es la longitud de la contraseña, mientras más largas, es más difícil quebrarlas, en eso se supera al patrón letras+números+símbolos según los estudios.
La idea es crear contraseñas de entre 15 y 20 caracteres, pudiendo llegar a más de 60 y que agrupen palabras sin relación como pudieran ser flor – moneda – reloj, e incluso adicionar números.
2. Implementar la autenticación multifactor.
El proceso, como es conocido, depende de la existencia de un tipo de verificación adicional a la contraseña para garantizar que el acceso se haga efectivo.
Es común en nuestro medio la existencia de dos pasos (doble factor o 2FA), que consiste en conjugar la contraseña con un pin obtenido a través de un mensaje corto al móvil (SMS) o un código generado, desde una aplicación como el autenticador de Google, que es único y temporal.
El mundo se encamina al uso de tres o mas factores en la autenticación. Se incluyen factores bionmçetricos (huella o retina), tokens (hardware) que genera códigos, las notificaciones push que envían desde un dispositivo móvil un mensaje indicando que se acepte el inicio de sesión o la verificación contextual, que brinda una información adicional sobre la ubicación geográfica o el dispositivo utilizado.
3. Evitar el uso de contraseñas vulneradas, aunque se puede pensar en evitar la reutilización de contraseñas anteriores.
De esta manera se puede evitar que el ciberdelincuente se valga del acceso a sus habituales “bancos de contraseñas” que son utilizadas para defraudar los sistemas. Por eso, se considera conveniente la creación de un mecanismo que establezca directivas de seguridad en los servidores que puedan suplir los fallos o equívocos humanos.
4. El estándar plantea la supresión de solicitar pistas para recordar contraseñas, pues se constituye en un a vía por la que un atacante obtenga indicios quebrar contraseñas.
5. En el nuevo estándar se hace más ligera la “carga” de cambiar con frecuencia las contraseñas dando el hecho que se conjugan varios aspectos que solidifican el mecanismo de seguridad en el uso de las credenciales.
Sin embargo, aunque es anterior a esta norma, no puede pasarse por alto la necesidad de utilizar una contraseña para cada servicio, de manera que si se pierde la confidencialidad en una contraseña y su sistema, sitio o aplicación asociada, los restantes se mantienen sin sufrir incidentes. Para suplir el problema de recordar la multiplicidad de contraseñas, puede ser resuelto con el usode administradores de contraseñas.
Finalmente, es valioso reiterar que la aplicación de un estándar no es una obligación para las personas naturales, incluso las organizaciones pueden asumir una norma y plantear que no aplicarán aspectos de esta, explicando sus razones, pero si puede resultar una buena práctica aplicar algunos de estos aspectos, para enfrentar la inseguridad que impone una época en que el phishing y la suplantación de identidad son flagelos que amenazan la seguridad de las TIC.
Como se dice antes, no es una obligación, pero si es conveniente tomarse un momento para valorar la conveniencia de adoptar la concepción de esta norma, por que nadie sabe cual es el objetivo de un ciberdelincuente y por ello, la información que se posee puede ser codiciada.