La seguridad de las contraseñas está cambiando y las pautas actualizadas del NIST rechazan las prácticas obsoletas en favor de protecciones más efectivas.
¿No tiene tiempo para leer las pautas en el documento de 35.000 palabras? No hay problema. Aquí se presentan las seis conclusiones de la nueva guía del NIST que su organización necesita conocer para crear políticas de contraseñas que funcionen.
1. Longitud de contraseña > complejidad de contraseña
Durante años, las organizaciones han creado políticas de contraseñas que siguen una fórmula rígida (que exige que los usuarios incluyan letras mayúsculas y minúsculas, números y símbolos) para crear contraseñas que sean difíciles de descifrar.
Pero la investigación del NIST destaca una falla en este enfoque: los humanos son predecibles y a menudo siguen patrones predecibles (y fáciles de adivinar) al desarrollar contraseñas "complejas".
Por ejemplo, los usuarios suelen utilizar los siguientes "trucos":
- Comienzan sus contraseñas con una letra mayúscula (p. ej., "welcome456" se convierte en "Welcome456")
- Terminan sus contraseñas con un número o símbolo (p. ej., "Welcome456.", "Welcome2024!!")
- Intercambian caracteres comunes (p. ej., "WelcomeToXYZCorp" se convierte en "W3lcomeToXYZC0rp")
¿Qué significa esto? Las contraseñas que pueden parecer complejas (y que cumplen con los requisitos de la política de contraseñas) son relativamente fáciles de descifrar porque siguen un patrones predecibles.
Para ayudar a los usuarios a crear contraseñas más seguras, el NIST recomienda imponer la longitud de la contraseña en lugar de la complejidad de la misma. En lugar de pedirles a los usuarios que se inventen una combinación aleatoria y difícil de recordar de letras, números y símbolos, instelos a crear contraseñas o frases de contraseña más largas que sean fáciles de recordar pero más difíciles de adivinar.
Las mejores frases de contraseña combinan palabras no relacionadas en una sola frase de contraseña más larga. Por ejemplo, una frase de contraseña como "llama-shoes-trumpet-456" será mucho más fácil de recordar para un usuario que una contraseña aleatoria como "HPn&897*k", y será más difícil de hackear que las contraseñas que siguen patrones predecibles.
2. Facilite el uso de contraseñas más largas
Sobre la base de las pautas anteriores, la última revisión del NIST confirma lo que los investigadores de seguridad han sospechado durante mucho tiempo: la longitud de la contraseña es la medida de seguridad de contraseña más importante, pero muchas empresas socavan su seguridad al imponer límites de caracteres en las contraseñas.
Para maximizar la protección de seguridad que brindan las contraseñas, sus políticas de contraseñas deben poder admitir frases de contraseña largas.
El NIST recomienda admitir hasta 64 caracteres, mucho más de lo que la mayoría de los usuarios necesitarán, pero muy importante para aquellos que priorizan la máxima seguridad.
Si bien las contraseñas más largas aumentan la dificultad de descifrado, no son invencibles: incluso una frase de contraseña de 64 caracteres puede verse comprometida mediante la reutilización de contraseñas o el robo por parte de malware.
Dicho esto, las contraseñas largas ofrecen más protección que sus contrapartes más cortas. Brinde a sus usuarios la flexibilidad de usar una frase de contraseña que satisfaga sus necesidades de seguridad, independientemente de si tiene 15 o 50 caracteres.
3. Implemente la autenticación multifactor (MFA)
Las investigaciones de Microsoft muestran que el 99% de las cuentas vulneradas carecían de autenticación multifactor. Sin embargo, muchas organizaciones aún tratan la autenticación multifactor como un lujo en lugar de una necesidad.
El NIST no se anda con rodeos con sus recomendaciones sobre este tema: la autenticación multifactor ya no es opcional, es una línea de defensa imprescindible para cuando las contraseñas inevitablemente fallan.
Para cumplir con las pautas del NIST, no se aferre a la autenticación de un solo factor. Al implementar la autenticación multifactor, cerrará una brecha de seguridad que se explota con regularidad.
4. Evitar los cambios frecuentes de contraseña
A los usuarios finales no les gusta que los obliguen a cambiar sus contraseñas, por lo que les complacerá saber que el NIST insta a las organizaciones a renunciar a la caducidad obligatoria de las contraseñas a menos que haya evidencia de que se han visto comprometidas.
El NIST afirma que los cambios frecuentes de contraseñas a menudo conducen a una seguridad más débil, no más fuerte, ya que los usuarios recurren a ajustes mínimos de las contraseñas para satisfacer el requisito de la "nueva" contraseña.
Pero abandonar por completo las políticas de caducidad de contraseñas puede ir demasiado lejos en la dirección opuesta por lo que se recomienda un enfoque matizado: extender el tiempo entre los cambios necesarios y mantener las medidas de seguridad esenciales. Cuando los usuarios crean contraseñas sólidas y las organizaciones implementan herramientas de detección de vulnerabilidades, los períodos de expiración más largos no solo se vuelven aceptables, sino preferibles.
5. Evitar el uso de contraseñas ya vulneradas
La última guía del NIST es clara: las organizaciones deben comparar las contraseñas nuevas con las bases de datos de credenciales comprometidas conocidas.
¿Por qué? Porque estas contraseñas expuestas se convierten en llaves maestras para los atacantes, que aprovechan listas masivas de credenciales vulneradas para acelerar sus ataques.
Los usuarios rara vez saben cuándo sus contraseñas preferidas han sido expuestas en vulneraciones anteriores. Pueden reutilizar confiadamente lo que parece una contraseña segura, sin saber que ya está circulando en bases de datos delictivas.
Al bloquear de forma proactiva estas contraseñas vulneradas, su organización puede cerrar un vector de ataque favorito antes de que los delincuentes informáticos puedan explotarlo.
6. Dejar de usar pistas de contraseñas y otras formas de recuperación basadas en el conocimiento
¿Cómo se llamaba su primera mascota? ¿Cuál era la mascota de su escuela secundaria? ¿Cuál es el apellido de soltera de su madre?
Las pistas de contraseñas y las preguntas de seguridad como estas muestran su antigüedad. Y la última guía del NIST insta a las organizaciones a renunciar a estos métodos de recuperación tradicionales porque nuestra vida en línea los ha vuelto obsoletos.
Considere cuánta información personal fluye libremente en las redes sociales. Lo que alguna vez parecía conocimiento privado ahora está a la vista de todos, esperando ser recopilado y explotado.
En lugar de pistas, el NIST sugiere alternativas como incluir enlaces seguros de recuperación de correo electrónico y verificación MFA durante el restablecimiento de contraseñas.
Estos enfoques permiten a los usuarios validar su identidad a través del acceso físico a dispositivos o cuentas en lugar de datos personales que se descubren fácilmente.
Fuente: BC