Las mejores prácticas en materia de contraseñas son bien conocidas, pero ¿son realmente las mejores? En las últimas décadas, la mayoría de las empresas han implementado lo que consideran criterios fundamentales para las contraseñas. Estos generalmente incluyen:
- Asegurar contraseñas complejas compuestas de caracteres numéricos, alfabéticos (mayúsculas y minúsculas) además de símbolos especiales y caracteres similares
- Obligar a los usuarios a cambiar de contraseña regularmente
- Requerir nuevas contraseñas no utilizadas anteriormente por el usuario
Estas directrices son tan ampliamente aceptadas que vemos que los requisitos como los del Estándar de Seguridad de Datos de la Industria de las Tarjetas de Pago (PCI DSS) especifican que las contraseñas deben ser cambiadas cada 90 días.
Pero como en todas las políticas de tecnología madura, es importante retroceder de vez en cuando y evaluar si dicha política tiene sentido en un entorno cambiante. Esto es exactamente lo que el Instituto Nacional de Estándares y Tecnología (NIST) ha hecho para las directrices de contraseñas.
Debemos desaprender algunas de las mejores prácticas a las que nos hemos acostumbrado durante décadas y aplicar una nueva normalidad a las prácticas de gestión de contraseñas.
El NIST ha publicado recientemente un conjunto revisado de directrices de identidad digital. Dentro de estas directrices, el instituto esboza lo que considera buenas prácticas para las contraseñas hoy en día. No cubriremos los cuatro volúmenes de la publicación del NIST, pero les recomiendo encarecidamente que revisen las directrices adicionales enlazadas al final de este post.
Echemos un vistazo a algunas de las prácticas de seguridad de contraseñas comúnmente implementadas, y comparémoslas con las recomendaciones actualizadas del NIST.
El complejo no es necesariamente fuerte.
Parece que desde siempre nos hemos visto obligados a elegir contraseñas que contienen una variación de caracteres numéricos, letras mayúsculas y minúsculas y caracteres especiales para hacer una contraseña compleja. Sin embargo, el NIST ha declarado que esto no conduce a contraseñas más fuertes, y la práctica debería ser reemplazada por un soporte más dinámico para la selección de contraseñas.
El NIST recomienda que las organizaciones apoyen a los usuarios en la selección de mejores contrastes, cotejando las contraseñas elegidas con los datos de violación filtrados y las contraseñas débiles conocidas.
Es difícil argumentar que este ejercicio es imposible de llevar a cabo con la abundancia de datos incumplidos disponibles en Internet. La disponibilidad de herramientas como HashCat y otras similares para la comprobación de contraseñas hace que sea bastante fácil comprobar la calidad de la selección de contraseñas.
Podemos ver ahora que algunos proveedores están haciendo este consejo aún más fácil de implementar mediante la integración de dicha funcionalidad en sus productos. Microsoft, por ejemplo, ha añadido una bandera de «Login arriesgado» para los usuarios que ingresan a su Directorio Activo Azure usando credenciales filtradas.
Cuanto más tiempo mejor, y permite cortar y pegar
Todos hemos encontrado ejemplos en los que tu contraseña no puede tener más de 8 o 10 caracteres de longitud. Esto se puede ver en algunas de las organizaciones más grandes a nivel mundial, sin duda debido a las restricciones con los sistemas de legado.
El NIST es claro en sus recomendaciones sobre la longitud de la contraseña. Sugiere que se permitan contraseñas de al menos 64 caracteres. Además, se debería alentar y apoyar el uso de administradores de contraseñas asegurando que los usuarios puedan pegar en los campos de entrada de datos de las contraseñas. Curiosamente, algunos sitios actualmente impiden que los usuarios peguen sus contraseñas en los campos de los formularios, con lo que se rompe el uso automatizado de los administradores de contraseñas.
Las pistas de la contraseña están pasadas de moda
Una tendencia popular para recuperar las contraseñas olvidadas es permitir a los usuarios restablecer las contraseñas si responden con éxito a una pregunta como la marca de su primer coche o su profesor favorito.
La calidad de las preguntas de sugerencia a menudo puede dejar mucho que desear. Los bajos niveles de entropía combinados con todos los datos personales que ahora se comparten en los medios sociales debilitan el uso de las pistas de contraseñas. El NIST nos aconseja que dejemos de usar las preguntas de pistas como medio para ayudar a los usuarios a recuperar el acceso a la cuenta.
Ya no hay cambios regulares
Por último, el NIST ha desaprobado la práctica ampliamente adoptada de cambiar regularmente su contraseña en caso de que los hackers tengan información sin su conocimiento.
El argumento en contra de esta práctica radica en el rasgo humano de seleccionar una secuencia o patrón de contraseñas para facilitar la carga de trabajo de recordar las contraseñas. Así que lo que un usuario tiende a hacer es añadir un número u otro carácter incremental al final de su contraseña actual e incrementarlo cada vez que se ve obligado a cambiar su contraseña. Esto hace que la contraseña sea débil y el NIST ya no recomienda esta práctica.
En revisión: ¿Qué puede hacer para mejorar el enfoque de las contraseñas de su organización?
Realizar la prueba de la contraseña
Si no puede realizar verificaciones de contraseña en línea a medida que los usuarios generan o cambian sus contraseñas, entonces asegúrese de proporcionar una verificación muy regular de la solidez de la contraseña. Ejecute herramientas como Hashcat e identifique las contraseñas débiles y para los usuarios el cambio de todas las contraseñas débiles. Busque nuevas funcionalidades en su sistema de gestión de cuentas de usuario, ya que algunos proveedores afirman que deben integrar estas funcionalidades.
Deje de forzar el cambio regular de contraseñas
El cambio de contraseñas debe realizarse cuando un usuario sospecha que su contraseña ya no es secreta. En el curso normal de los acontecimientos, las contraseñas ya no deberían cambiarse regularmente.
Actualice sus sistemas para apoyar las nuevas prácticas óptimas
Asegúrate de que tus sistemas soportan contraseñas de 64 caracteres, y permite el pegado en campos de formulario para contraseñas (y nombres de usuario). Elimina las reglas de composición forzada a favor de las contraseñas más largas.
Enlaces NIST
SP 800-63 Directrices de identidad digital
https://doi.org/10.6028/NIST.SP.800-63-3
SP 800-63A Inscripción y prueba de identidad
https://doi.org/10.6028/NIST.SP.800-63a
SP 800-63B Autenticación y gestión del ciclo de vida
https://doi.org/10.6028/NIST.SP.800-63b
SP 800-63C Federación y Afirmaciones
https://doi.org/10.6028/NIST.SP.800-63c