El Instituto Nacional de Estándares y Tecnología (NIST por sus siglas en inglés) publicó en su boletín modificaciones a los criterios utilizados para la gestión de contraseñas seguras, realizando énfasis en las dificultades que trae para el usuario el uso de contraseñas confusas y las potenciales brechas de seguridad que conlleva.
Los nuevos criterios propuestos por NIST buscan además eliminar los restablecimientos periódicos de contraseñas, eliminar las preguntas de seguridad y evitar el uso de caracteres complejos para el usuario común.
Recomendaciones
Longitud: Cuando se utilizan contraseñas demasiado cortas se da lugar a ataques de fuerza bruta y ataques de diccionario. Se debe alentar a los usuarios para que sus contraseñas sean largas dentro de lo razonable debido a que las contraseñas extremadamente largas (quizás de varios megabytes) podrían requerir un tiempo de procesamiento excesivo para cifrarlas, por lo que es conveniente exigir límites.
Complejidad: Las reglas de complejidad utilizadas para aumentar la dificultad de adivinar las contraseñas han abierto un nuevo escenario donde los usuarios con tal de cumplir la meta de contraseña segura clásica (alfanumérico + símbolo) utilizan patrones predecibles como lo son "Contraseña123!" o "Pass123$". Por este motivo, las contraseñas elegidas por los usuarios deben ser comparadas con una lista de bloqueo de contraseñas inaceptables.
Cambios Periódicos: El exigir a los usuarios modificar de forma constante sus credenciales se da pie a que estos por mero agotamiento se vean tentados a utilizar contraseñas simples que cumplan con los requisitos mínimos (repasar ejemplos del punto anterior). Por ello se recomienda que las contraseñas sean modificadas solo cuando existe evidencia de que haya ocurrido una vulneración a la integridad de la cuenta como en el caso de un ser víctima de phishing o la detección de logins sospechosos.
Preguntas de Seguridad: Se ha demostrado que la autenticación basada en conocimiento conlleva que el atacante pueda obtener la información mediante actividad de OSINT que a su vez brinda pistas sobre el criterio utilizado por el usuario para confeccionar su contraseña.
Comments