ohurante la última década, las personas han acumulado una amplia gama de inicios de sesión para docenas de sitios y aplicaciones, a medida que una mayor parte de nuestra vida laboral y familiar se traslada a Internet. Es por eso que nunca ha tenido sentido que tantos departamentos de TI hayan insistido beligerantemente en mantener un obstáculo importante para la gestión de contraseñas. Es decir, la necesidad de cambiar las contraseñas con regularidad.
Es un escenario familiar. Llega a la oficina y necesita iniciar sesión rápidamente en el portátil de su empresa, antes de su reunión matutina. Pero hoy la velocidad no va a ser esencial, porque ha aparecido un mensaje molesto: necesitas cambiar tu contraseña.
Gracias a Dios, entonces, por las nuevas directrices del gobierno de EE. UU., que sugieren poner fin a la exigencia de tales restablecimientos obligatorios de contraseñas. Anteriormente, EE.UU. Instituto Nacional de Estándares y Tecnología (NIST) recomendó a las organizaciones imponer la caducidad de las contraseñas cada 365 días, pero ahora dice que esto no es necesario en absoluto, a menos que una contraseña se haya visto comprometida en una infracción.
Es otro clavo en el ataúd de esta práctica, que ya no es recomendada por organizaciones como la Comisión Federal de Comercio de EE. UU., Microsoft y el Centro Nacional de Ciberseguridad del Reino Unido (NCSC) – que tiene desaconsejado Cambiando periódicamente las contraseñas desde 2015.
De hecho, el NIST apenas está alcanzando el consenso general a medida que las huellas digitales de las personas alcanzan niveles inmanejables, lo que lleva a una acumulación de contraseñas que son bastante difíciles de recordar, y mucho menos de cambiar.
El problema de cambiar las contraseñas con regularidad es fácil de imaginar, especialmente en el trabajo. Quiere ingresar a un sitio web requerido, tiene prisa, no se siente más creativo y, francamente, no le importa lo que necesita hacer para iniciar sesión. Lo que antes era “contraseña1” se convierte en “contraseña1”. contraseña2” y una vez que hayas accedido al sitio con éxito, te olvidarás de todo.
Los atacantes conocen estos patrones, por lo que si pudieron descifrar su contraseña anterior, también podrán adivinar la nueva.
“Es uno de esos escenarios de seguridad contradictorios; cuanto más a menudo los usuarios se ven obligados a cambiar sus contraseñas, mayor es la vulnerabilidad general a los ataques”, afirma Emma W, líder de seguridad centrada en las personas del NCSC del Reino Unido. “Los atacantes a menudo pueden descifrar la nueva contraseña si tienen la anterior. Y los usuarios, obligados a cambiar otra contraseña, a menudo elegirán una más débil que no olvidarán”.
Y los estudios revelan que, en general, la gente sigue utilizando nombres de usuario o contraseñas demasiado simples, a pesar de las advertencias del gobierno y la industria. Un informe reciente de los expertos en ciberseguridad. Redcéntrico sugiere que una de cada cinco personas utiliza sólo una o dos contraseñas para acceder a todos sus inicios de sesión en línea.
Si las personas son terribles a la hora de elegir contraseñas, cambiarlas no solucionará el problema. Un estudio anual de la empresa gestora de contraseñas NordPass revela el más común y, por lo tanto, credenciales fáciles de descifrar cada año, y las mismas aparecen regularmente. Además de las esperadas “contraseña1” y “1234567”, la gente suele volver a utilizar sus equipos de fútbol favoritos o nombres de celebridades.
Los gigantes tecnológicos saben que las contraseñas son un sistema defectuoso, por lo que han comenzado a realizar cambios para deshacerse de ellas por completo, incluidas iniciativas de la industria como la Alianza FIDO. Su objetivo es impulsar a los usuarios hacia la biometría, como Face ID y Touch ID de Apple, e incluso tokens físicos como el Yubico YubiClavepero por el momento, son además de las contraseñas, no en lugar de ellas.
Entonces, ¿qué pasa con las contraseñas en sí? ¿Deberíamos elegir una serie compleja de números, letras y caracteres únicos para crear nuestros inicios de sesión? Aparentemente no.
Los expertos, incluido el NIST, ahora dicen que es mucho mejor usar algo que puedas recordar. Según las últimas directrices, las contraseñas deben tener al menos ocho caracteres (preferiblemente más de 15) hasta un máximo de 64. Entonces, ¿qué pasa con la letra de una canción oscura pero memorable, o una línea de un libro que te encanta (simplemente no uses Una historia de dos ciudades; es demasiado obvio).
O mejor aún, el NCSC recomienda utilizar tres palabras al azar para crear una contraseña que sea “lo suficientemente larga y segura” para proteger sus cuentas.
Pero si está pensando en cambiar ciertos caracteres de su contraseña (por ejemplo, cambiar la letra “o” por un cero), el NCSC advierte que los ciberdelincuentes también conocen estos trucos. “Su contraseña no será significativamente más segura, pero le resultará más difícil recordarla”, dice el NCSC.
Entonces, ¿qué debería hacer la gente? En primer lugar, preste atención a las directrices del NCSC y del NIST, ya que estas instituciones realmente conocen las últimas investigaciones sobre seguridad, lo que puede ayudarle a elegir su contraseña personal.
En el trabajo, debe seguir los consejos de su departamento de TI y quizás informarles sobre las pautas del NCSC y el NIST, si aún no lo están.
Las directrices del NIST marcan un alejamiento de las visiones rígidas del pasado. Estados Unidos ayuda a establecer el estándar para el mundo tecnológico y dicen que es más realista conocer a las personas donde están, aceptando que tienen diferentes niveles de capacidad técnica, lo que en última instancia debería ayudar a que todos estén más seguros.
