El informe sobre vulneración de datos de 2023 del sitio especializado Verizon pone al descubierto que más de la mitad de los delitos contra la identidad tuvieron el mismo origen: contraseñas comprometidas.
Este escenario no pasa desapercibido para el Instituto Nacional de Estándares y Tecnología, más reconocido como NIST, que no solo desarrolla estándares y guías para mejorar la tecnología y la ciberseguridad, sino que con el paso de los años se ha convertido en uno de los referentes más importantes en el ámbito de la seguridad informática.
Recientemente, el organismo compartió nuevas reglas para la creación de contraseñas mucho más robustas y seguras: desde la utilidad de cambiar las contraseñas periódicamente, a la necesidad de inhabilitar la opción de uso de las credenciales más comunes. A continuación, compartimos las directrices y recomendaciones más importantes.
Contraseñas más largas, y sin imposiciones
Uno de los grandes cambios que propone el NIST, respecto de los estándares que se venían planteando hasta el momento, es alentar el uso de frases como contraseña entendiendo que son más fáciles de recordar.
Recomienda que no sea obligatorio que deban incluir mayúsculas, minúsculas, un número y un carácter especial. Es que, si bien la combinación de diversos tipos de caracteres pueden aumentar la complejidad de una clave, también pueden conducir a patrones predecibles que terminan debilitando la robustez de una contraseña.
En esa línea, sus pautas de seguridad de contraseñas actualizadas (SP-800-63-4) aconsejan a los proveedores de servicios en la nube y los verificadores que exijan contraseñas con una longitud mínima de 8 caracteres, con un ideal de al menos 15 caracteres y un un máximo de 64.
A su vez, el NIST también recomienda que se puedan utilizar todos los caracteres ASCII imprimibles, caracteres Unicode y el carácter de espacio en las contraseñas.
Adiós a los cambios periódicos y a las preguntas basadas en conocimiento
En otro punto importante de sus nuevas directrices, el NIST sugiere no solicitar cambios periódicos obligatorios en las contraseñas. Esto responde a que mientras mayor sea la frecuencia con que se le pide a los usuarios cambiar sus contraseñas, éstas serán mucho más débiles.
Sí aclaran que la actualización obligatoria debe tener lugar cuando haya alguna evidencia de que dicha credencial ha sido comprometida.
Además, recomiendan eliminar como mecanismo de autenticación preguntas basadas en el conocimiento previo, como el nombre de una mascota o el apellido de nuestra madre. ¿El motivo? Muy simple: esa información puede obtenerse de manera rápida y sencilla mediante la ingeniería social.
Listas negras para las contraseñas débiles y más comunes
Otra de las recomendaciones que se destacan de lo planteado por el NIST es la creación de una lista negra que incluya aquellas contraseñas débiles y de uso común, con el fin de que no puedan ser utilizadas. Y por supuesto, ponderan lo importante que es implementar una capa adicional de seguridad como lo es el doble factor de autenticación, siempre que sea posible.
Pensamientos finales
El NIST ha compartido sus nuevas directrices con el objetivo de que las contraseñas sean más seguras y robustas, pero también fáciles de implementar para los usuarios. Y así, evitar que las imposiciones innecesarias se traduzcan en credenciales más débiles.
Estar al día con estas actualizaciones y recomendaciones es muy importante, ya que el escenario de las amenazas cibernéticas evoluciona rápidamente, buscando poner en jaque nuestra información y sistemas confidenciales.
