El Instituto Nacional de Estándares y Tecnología (NIST), el organismo federal
que establece estándares tecnológicos para agencias gubernamentales,
organizaciones de estándares y empresas privadas, ha propuesto
prohibir algunos de los requisitos de contraseña más molestos y sin
sentido. Los principales: reinicios obligatorios, uso obligatorio o restringido de
ciertos personajes y el uso de preguntas de seguridad.
Elegir contraseñas seguras y almacenarlas de forma segura es una de las partes
más desafiantes de un buen régimen de ciberseguridad. Aún resulta más difícil
cumplir con las reglas de contraseñas impuestas por empleadores, agencias
federales y proveedores de servicios en línea. A menudo, las reglas
(aparentemente para mejorar la higiene de la seguridad) en realidad la
socavan. Y, sin embargo, los legisladores anónimos imponen los requisitos de
todos modos.
La semana pasada, NIST publicó su segundo borrador público de
SP 800-63-4, la última versión de sus Directrices de identidad digital. Una sección
dedicada a las contraseñas agrega una gran cantidad de prácticas de sentido
común muy necesarias que desafían las políticas comunes. Un ejemplo:
las nuevas reglas prohíben el requisito de que los usuarios finales cambien
periódicamente sus contraseñas. Este requisito surgió hace décadas, cuando no se entendía bien la seguridad
de las contraseñas y era común que las personas eligieran nombres comunes,
palabras del diccionario y otros secretos que se adivinaban fácilmente.
Desde entonces, la mayoría de los servicios requieren el uso de contraseñas
más seguras compuestas por caracteres o frases generadas aleatoriamente.
Cuando las contraseñas se eligen correctamente, el requisito de cambiarlas
periódicamente, generalmente cada uno a tres meses, en realidad puede
disminuir la seguridad porque la carga adicional incentiva contraseñas más
débiles que son más fáciles de configurar y recordar para las personas.
Otro requisito que a menudo hace más daño que bien es el uso obligatorio de
ciertos caracteres, como al menos un número, un carácter especial y una letra
mayúscula y minúscula. Cuando las contraseñas son lo suficientemente largas y
aleatorias, no resulta beneficioso exigir o restringir el uso de ciertos
caracteres. Y nuevamente, las reglas que rigen la composición pueden llevar a
que las personas elijan códigos de acceso más débiles.
Las últimas directrices del NIST ahora establecen que:
-
Los verificadores NO DEBEN imponer reglas de composición (por ejemplo,
requerir mezclas de diferentes tipos de caracteres) para contraseñas y; -
Los verificadores NO DEBEN exigir a los usuarios que cambien las contraseñas
periódicamente. Sin embargo, los verificadores DEBEN forzar un cambio si hay
evidencia de compromiso del autenticador.
Entre las nuevas directrices las reglas utilizan las palabras «DEBERÍA» (should), lo que significa que se recomienda como mejor práctica y «DEBEN» (must),que, por el contrario,
significa que debe prohibirse en la práctica. El último documento contiene varias otras prácticas de sentido común, que
incluyen:
-
Los verificadores DEBEN exigir que las contraseñas tengan una longitud
mínima de ocho caracteres aunque DEBERÍAN exigir que las contraseñas tengan
una longitud mínima de 15 caracteres. -
Los verificadores DEBERÍAN permitir una longitud máxima de contraseña de al
menos 64 caracteres. - Los verificadores DEBERÍAN aceptar todos los caracteres ASCII [RFC20] impresos y el carácter de espacio en las contraseñas.
-
Los verificadores DEBERÍAN aceptar caracteres Unicode [ISO/ISC 10646] en las contraseñas. Cada código Unicode DEBE contarse como un solo
carácter al evaluar la longitud de la contraseña. -
Los verificadores NO DEBEN imponer otras reglas de composición (por ejemplo,
requerir mezclas de diferentes tipos de caracteres) para las contraseñas. Esta disposición puede ser discutible y dependerá de la forma en que se almacenen y se realice hashing de las contraseñas tratadas. -
Los verificadores NO DEBEN exigir a los usuarios que cambien las contraseñas
periódicamente. Sin embargo, los verificadores DEBEN forzar un cambio si hay
evidencia de compromiso del autenticador. -
Los verificadores NO permitirán que el suscriptor almacene una pista a la
que pueda acceder un reclamante no autenticado. -
Los verificadores NO DEBEN solicitar a los suscriptores que utilicen
autenticación basada en conocimientos (KBA) (por ejemplo, «¿Cómo se llamaba
su primera mascota?») ni preguntas de seguridad al elegir contraseñas. -
Los verificadores DEBEN verificar toda la contraseña enviada (es decir, no
truncarla).
Durante años, los críticos han denunciado la locura y el daño que resultan de
muchas reglas de contraseñas comúnmente aplicadas. Y, sin embargo, los bancos,
los servicios en línea y las agencias gubernamentales se han aferrado en gran
medida a ellos de todos modos.
Las nuevas directrices, en caso de que sean
definitivas, no son universalmente vinculantes, pero podrían proporcionar
puntos de conversación persuasivos a favor de acabar con las tonterías.
Fuente:
NIST
Los comentarios están cerrados.