Expertos del Instituto de Tecnología y Estándares de Estados Unidos (NIST) han actualizado sus pautas para garantizar la seguridad de las contraseñas, eliminando la recomendación de complejidad y cambios periódicos.
El Instituto Nacional de Estándares y Tecnología (NIST) hizo publica la semana pasada una segunda versión preliminar de sus pautas de contraseñas, la que describe los requisitos técnicos, así como las mejores prácticas recomendadas para la administración y autenticación de contraseñas.
El NIST propone un enfoque distinto al que tradicionalmente se ha seguido. Estas nuevas recomendaciones, incluidas en la Publicación Especial 800-63B, tienen como objetivo reforzar la seguridad en línea al tiempo que mejoran la experiencia del usuario.
Una de las principales modificaciones se refiere a los requisitos de complejidad de las contraseñas. En lugar de exigir la inclusión de letras mayúsculas, minúsculas, números y caracteres especiales, el NIST ahora sugiere priorizar la longitud de la contraseña como el factor clave para asegurar su solidez.
El enfoque actual busca reducir la dependencia de reglas de composición complicadas, que suelen generar patrones predecibles y contraseñas menos seguras y ahora se sugiere el uso de frases largas como alternativas más efectivas.
El estándar establece una longitud mínima de ocho caracteres, aunque se recomienda que las organizaciones permitan contraseñas de hasta 64 caracteres, favoreciendo el uso de frases de contraseña más extensas y robustas. Este cambio tiene como objetivo facilitar la creación de contraseñas fuertes sin complicar innecesariamente su memorización.
Al respecto, el líder del área operacional de NIVEL4, Hernán Möller, comento lo importante de este cambio de paradigma, porque «por varios años las empresas y organizaciones han incentivado el cambio de contraseña en las cuentas de sus usuarios de maneras no tan amigables, forzando esa modificación cada cierto tiempo, como 30 o 90 días», y reclacó que personalmente él nunca ha sido un fan de estas obligaciones, «porque si bien junto con el cambio de contraseña se implementan otras medidas de seguridad como la longitud de la contraseña o el tipo de caracteres que debe contener, los que generalmente debe incluir un número y un carácter especial, esta misma práctica obligatoria de cambio ha generado otros problemas de seguridad tanto para el usuario como para las empresas u organizaciones que están intentando mejorar su seguridad».
En opinión de Hernán Möller, el NIST pudo haber llegado a esta conclusión porque «los usuarios reutilizan contraseñas anteriores, a las que les agregan números o caracteres al final. Y aunque cumplen con el protocolo de complejidad, los descifradores de contraseñas son capaces de seguir este tipo de patrones entre los usuarios y eso, incluso, les ahorra tiempo para dar con una contraseña robada. Esto es exactamente lo mismo que mencionaba anteriormente y que hemos visto en actividades reales».
Otra actualización importante es la eliminación de la obligatoriedad de cambiar las contraseñas periódicamente. Según el NIST, esta práctica no mejora la seguridad y, de hecho, puede resultar contraproducente, ya que a menudo lleva a los usuarios a realizar modificaciones menores y predecibles. A partir de ahora, los cambios de contraseña solo deben realizarse cuando se tenga evidencia de que la misma ha sido comprometida.
El NIST también recomienda que las contraseñas se verifiquen contra listas de contraseñas comúnmente usadas o comprometidas para evitar que los usuarios elijan credenciales débiles. Además, desaconseja el uso de pistas de contraseña o preguntas de seguridad, como las basadas en conocimientos personales, ya que son susceptibles de ser adivinadas o descubiertas mediante ingeniería social.
En cuanto al almacenamiento seguro de contraseñas, se aconseja el uso de algoritmos hash con sal («salting hashing» o salado de contraseña, que significa agregar datos aleatorios a una contraseña antes de aplicarle hash) y un factor de trabajo que haga que los ataques fuera de línea sean más costosos computacionalmente. Esta práctica ayuda a proteger las contraseñas almacenadas, incluso si se produce una violación de la base de datos.
Las nuevas pautas establecen requisitos claros para los verificadores y los proveedores de servicios de comunicaciones (CSP), tales como:
- Exigir contraseñas de al menos 8 caracteres y permitir contraseñas de hasta 64 caracteres.
- Aceptar todos los caracteres ASCII y Unicode, incluyendo espacios.
- No imponer reglas de composición adicionales ni requerir cambios periódicos de contraseñas, a menos que haya evidencia de compromiso.
- Evitar el uso de pistas de contraseña accesibles por terceros no autenticados o preguntas de autenticación basadas en conocimientos.
Las directrices también recalcan la importancia de la autenticación multifactor (MFA) como una capa adicional de seguridad, que aunque no es un requisito específico para contraseñas, se recomienda enfáticamente su implementación siempre que sea posible.
El NIST subraya que estas pautas no están limitadas a las agencias federales en los Estados Unidos, sino que están diseñadas para ser adoptadas como mejores prácticas por cualquier organización interesada en mejorar su ciberseguridad.
Para Hernán Möller, las nuevas recomendaciones que propone el NIST «buscan ajustarse a realidades que van cambiando, como parte de un largo proceso de aprendizaje, de la sofisticación de los atacantes y del avance de las tecnologías».
Las nuevas pautas propuesta por la entidad podrían tener un importante impacto a nivel global, ya que la guía del NIST suele ser adoptada por varios organismos gubernamentales y entidades reguladoras en todo el mundo.