La seguridad de las contraseñas está cambiando y las
pautas actualizadas del NIST rechazan las prácticas obsoletas en favor de protecciones más
efectivas.
¿No tiene tiempo para leer las pautas en el documento de 35.000 palabras? No
hay problema. Aquí se presentan las seis conclusiones de la nueva guía del
NIST que su organización necesita conocer para crear políticas de contraseñas
que funcionen.
1. Longitud de contraseña > complejidad de contraseña
Durante años, las organizaciones han creado políticas de contraseñas que
siguen una fórmula rígida (que exige que los usuarios incluyan letras
mayúsculas y minúsculas, números y símbolos) para crear contraseñas que sean
difíciles de descifrar.
Pero la investigación del NIST destaca una falla en este enfoque: los humanos
son predecibles y a menudo siguen patrones predecibles (y fáciles de adivinar)
al desarrollar contraseñas «complejas».
Por ejemplo, los usuarios suelen utilizar los siguientes «trucos»:
-
Comienzan sus contraseñas con una letra mayúscula (p. ej.,
«welcome456» se convierte en «Welcome456») -
Terminan sus contraseñas con un número o símbolo (p. ej.,
«Welcome456.», «Welcome2024!!») -
Intercambian caracteres comunes (p. ej., «WelcomeToXYZCorp» se
convierte en «W3lcomeToXYZC0rp»)
¿Qué significa esto? Las contraseñas que pueden parecer complejas (y que
cumplen con los requisitos de la política de contraseñas) son relativamente
fáciles de descifrar porque siguen un patrones predecibles.
Para ayudar a los usuarios a crear contraseñas más seguras, el
NIST recomienda imponer la longitud de la contraseña en lugar de la
complejidad de la misma.
En lugar de pedirles a los usuarios que se inventen una combinación aleatoria
y difícil de recordar de letras, números y símbolos, instelos a
crear contraseñas o frases de contraseña más largas que sean fáciles de
recordar pero más difíciles de adivinar.
Las mejores frases de contraseña combinan palabras no relacionadas en una sola
frase de contraseña más larga. Por ejemplo, una frase de contraseña como
«llama-shoes-trumpet-456» será mucho más fácil de recordar para un
usuario que una contraseña aleatoria como «HPn&897*k», y será más
difícil de hackear que las contraseñas que siguen patrones predecibles.
2. Facilite el uso de contraseñas más largas
Sobre la base de las pautas anteriores, la última revisión del NIST confirma
lo que los investigadores de seguridad han sospechado durante mucho tiempo:
la longitud de la contraseña es la medida de seguridad de contraseña más
importante, pero muchas empresas socavan su seguridad al imponer límites de
caracteres en las contraseñas.
Para maximizar la protección de seguridad que brindan las contraseñas, sus
políticas de contraseñas deben poder admitir frases de contraseña largas.
El NIST recomienda admitir hasta 64 caracteres, mucho más de lo que la mayoría
de los usuarios necesitarán, pero muy importante para aquellos que priorizan
la máxima seguridad.
Si bien las contraseñas más largas aumentan la dificultad de descifrado,
no son invencibles: incluso una frase de contraseña de 64 caracteres puede verse comprometida
mediante la reutilización de contraseñas o el robo por parte de malware.
Dicho esto, las contraseñas largas ofrecen más protección que sus contrapartes
más cortas. Brinde a sus usuarios la flexibilidad de usar una frase de
contraseña que satisfaga sus necesidades de seguridad, independientemente de
si tiene 15 o 50 caracteres.
3. Implemente la autenticación multifactor (MFA)
Las investigaciones de
Microsoft muestran que el 99% de las cuentas vulneradas carecían de
autenticación multifactor.
Sin embargo, muchas organizaciones aún tratan la autenticación multifactor
como un lujo en lugar de una necesidad.
El NIST no se anda con rodeos con sus recomendaciones sobre este tema:
la autenticación multifactor ya no es opcional, es una línea de defensa imprescindible para cuando las contraseñas
inevitablemente fallan.
Para cumplir con las pautas del NIST, no se aferre a la autenticación de un
solo factor. Al implementar la autenticación multifactor, cerrará una brecha
de seguridad que se explota con regularidad.
4. Evitar los cambios frecuentes de contraseña
A los usuarios finales no les gusta que los obliguen a cambiar sus
contraseñas, por lo que les complacerá saber que el NIST insta a las
organizaciones a renunciar a la caducidad obligatoria de las contraseñas a
menos que haya evidencia de que se han visto comprometidas.
El NIST afirma que los cambios frecuentes de contraseñas a menudo conducen
a una seguridad más débil, no más fuerte,
ya que los usuarios recurren a ajustes mínimos de las contraseñas para
satisfacer el requisito de la «nueva» contraseña.
Pero abandonar por completo las políticas de caducidad de contraseñas puede ir
demasiado lejos en la dirección opuesta por lo que
se recomienda un enfoque matizado:
extender el tiempo entre los cambios necesarios y mantener las medidas de
seguridad esenciales.
Cuando los usuarios crean contraseñas sólidas y las organizaciones implementan
herramientas de detección de vulnerabilidades, los períodos de expiración más
largos no solo se vuelven aceptables, sino preferibles.
5. Evitar el uso de contraseñas ya vulneradas
La última guía del NIST es clara: las organizaciones deben comparar las
contraseñas nuevas con las bases de datos de credenciales comprometidas
conocidas.
¿Por qué? Porque estas contraseñas expuestas se convierten en llaves maestras
para los atacantes, que aprovechan listas masivas de credenciales vulneradas
para acelerar sus ataques.
Los usuarios rara vez saben cuándo sus contraseñas preferidas han sido
expuestas en vulneraciones anteriores. Pueden reutilizar confiadamente lo que
parece una contraseña segura, sin saber que ya está circulando en bases de
datos delictivas.
Al bloquear de forma proactiva estas contraseñas vulneradas, su organización
puede cerrar un vector de ataque favorito antes de que los delincuentes
informáticos puedan explotarlo.
6. Dejar de usar pistas de contraseñas y otras formas de recuperación basadas
en el conocimiento
¿Cómo se llamaba su primera mascota? ¿Cuál era la mascota de su escuela
secundaria? ¿Cuál es el apellido de soltera de su madre?
Las pistas de contraseñas y las preguntas de seguridad como estas muestran
su antigüedad. Y la última guía del NIST insta a las organizaciones a
renunciar a estos métodos de recuperación tradicionales porque nuestra vida
en línea los ha vuelto obsoletos.
Considere cuánta información personal fluye libremente en las redes sociales.
Lo que alguna vez parecía conocimiento privado ahora está a la vista de todos,
esperando ser recopilado y explotado.
En lugar de pistas, el NIST sugiere alternativas como incluir enlaces seguros
de recuperación de correo electrónico y verificación MFA durante el
restablecimiento de contraseñas.
Estos enfoques permiten a los usuarios validar su identidad a través del
acceso físico a dispositivos o cuentas en lugar de datos personales que se
descubren fácilmente.
Fuente:
BC