La confianza en el ámbito digital es crucial para la seguridad de la información. Recientemente, el Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés) ha revisado sus directrices sobre la gestión y uso de contraseñas. En su borrador “SP 800-63-4”, presentado recientemente, se han propuesto algunas reglas nuevas y muy sensatas para la creación y manejo de contraseñas. Vamos a desglosar cada una de estas recomendaciones para entender mejor cómo pueden ayudarnos a mantener nuestros datos seguros.
Requisitos Mínimos y Recomendados de Longitud
Como norma general, los verificadores y Proveedores de Servicios de Credenciales (CSP, por sus siglas en inglés) deben exigir que las contraseñas tengan una longitud mínima de ocho caracteres. Sin embargo, se recomienda una longitud mínima de 15 caracteres para mejorar la seguridad.
¿Por qué es importante esto?
Las contraseñas más largas son inherentemente más seguras, ya que ofrecen una mayor cantidad de combinaciones posibles que los atacantes deben probar para romperlas mediante técnicas de fuerza bruta.
Longitud Máxima y Tipos de Caracteres
Las nuevas guías sugieren permitir una longitud máxima de contraseña de al menos 64 caracteres. Además, los caracteres imprimibles ASCII y el espacio deben ser aceptados, así como los caracteres Unicode. Cada punto de código Unicode debe contarse como un solo carácter al evaluar la longitud de la contraseña.
Beneficio principal
Permitir caracteres Unicode amplía el conjunto de caracteres disponibles, aumentando así la complejidad de las contraseñas y dificultando su ruptura.
Reglas de Composición y Cambio Regular
Los verificadores y CSPs no deben imponer reglas adicionales de composición, como exigir mezclas de diferentes tipos de caracteres. También se prohíbe pedir a los usuarios que cambien sus contraseñas periódicamente, a menos que haya evidencia de un compromiso de autenticación.
Razonamiento detrás de esto
Se ha demostrado que las reglas de composición y los cambios periódicos pueden dar lugar a contraseñas más débiles, ya que los usuarios tienden a crear combinaciones más predecibles cuando están obligados a cambiar sus contraseñas con frecuencia.
Hints y Preguntas de Seguridad
No se debe permitir a los suscriptores almacenar pistas para sus contraseñas que sean accesibles sin autenticación. Así mismo, se recomienda no utilizar la autenticación basada en conocimientos (KBA), como preguntas de seguridad del tipo “¿Cuál es el nombre de tu primera mascota?”
Motivación
Las pistas de contraseñas y las preguntas de seguridad son vulnerables a ataques basados en ingeniería social o recopilación de información personal, lo que facilita la tarea a los atacantes.
Verificación Completa de Contraseñas
Finalmente, los verificadores deben verificar la contraseña completa enviada, sin truncarla.
Ventaja
Verificar la totalidad de la contraseña garantiza que las medidas de seguridad sean aplicadas en su totalidad y no se vean comprometidas por una falsa sensación de seguridad.
Conclusión
Estas directrices del NIST representan un importante avance hacia una autentificación más segura y efectiva. Al adoptar estas prácticas, no solo mejoramos la seguridad de nuestros sistemas, sino que también facilitamos una experiencia de usuario más fluida y menos propensa a errores.
Implementar y seguir estas recomendaciones no solo fortalecerá la defensa contra los ataques, sino que también promoverá una cultura de seguridad más consciente y proactiva.
Esperamos que esta entrada te haya proporcionado información valiosa sobre las mejores prácticas para la gestión de contraseñas según las nuevas directrices del NIST. ¡Mantente seguro y sigue aprendiendo sobre ciberseguridad!