Expertos del Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés) han actualizado sus pautas para garantizar la seguridad de las contraseñas, eliminando la recomendación de cambiarlas de forma periódica, ya que puede crear el efecto contrario al hacer que los usuarios busquen opciones menos seguras.
Las contraseñas son una de las formas de autenticación más utilizadas, ya sea para iniciar sesión en un servicio, como barrera para almacenar información personal o para desbloquear dispositivos.
Se trata de un código compuesto por una serie de caracteres que los usuarios generan de forma secreta. En este sentido, para garantizar la seguridad de estas claves, los expertos suelen recomendar que alcancen una longitud determinada y combinen letras, números, símbolos, mayúsculas y minúsculas, e incluso sugieren cambiarlas cada cierto tiempo para evitar que se utilicen en caso de filtración.
Este tipo de pautas se ha recomendado durante los últimos años como medidas fiables de seguridad. Sin embargo, el NIST, organismo estadunidense dedicado a fijar estándares tecnológicos para organizaciones gubernamentales y privadas, ha desmontado algunas de estas recomendaciones en su último borrador público de las Directrices sobre identidad digital.
En concreto, una de estas rectificaciones revisa la recomendación de cambiar periódicamente las contraseñas. Tal como detalla el NIST en el apartado de Autenticadores de contraseñas, los verificadores y las políticas de seguridad de contenido (CSP, por sus siglas en inglés) “no deben exigir a los usuarios” que realicen esta práctica, a no ser que haya evidencia de que “el autenticador está comprometido”.
Esto se debe a que, según explicó el organismo, los usuarios tienden a generar contraseñas cada vez más sencillas para recordarlas con facilidad si deben cambiarlas de manera habitual, lo que las hace menos resistentes frente a ciberataques y filtraciones de datos.
Por otra parte, los expertos del NIST también han mencionado la recomendación de utilizar distintos tipos de caracteres en una contraseña. Al respecto, se ha detallado que los verificadores y las CSP “no deben imponer otras reglas de composición”.
Aunque estas reglas de composición se utilizan para aumentar la dificultad en la adivinación de las contraseñas, “investigaciones recientes han demostrado que los usuarios responden de maneras muy predecibles a los requisitos impuestos por estas reglas”.
Por ejemplo, un usuario que escoja la palabra ‘contraseña’ como contraseña “probablemente elegiría ‘Contraseña1’ si se le solicitara incluir una mayúscula y un número, o ‘¡Contraseña1!’ si también se requiere un símbolo”.
“Los análisis de bases de datos de contraseñas vulneradas revelan que el beneficio de estas reglas es menos significativo de lo que se pensaba inicialmente, y los impactos en la usabilidad y la memorabilidad son graves”, sentenció el NIST.
A pesar de estos cambios, los expertos han mantenido otras pautas, como la de establecer una longitud adecuada de caracteres para aumentar la seguridad.
En concreto, el organismo ha detallado que los verificadores y las CSP “deben exigir que las contraseñas tengan un mínimo de ocho caracteres”, aunque también ha señalado que, para garantizar la seguridad, se debería requerir un mínimo de 15 caracteres. Sin embargo, la longitud máxima recomendada para una contraseña es de 64 caracteres.
Con información de: Excélsior