Por @Alvy — 25 de abril de 2017

Password Box (CC) Microsiervos @ Flickr

El NIST ha publicado un borrador relativo a la seguridad en el terreno de la identidad digital, incluyendo toda una serie de definiciones y recomendaciones para crear contraseñas más seguras y gestionarlas a lo largo del tiempo. Se puede leer aquí en inglés: Digital Identity Guidelines.

Lo más interesante es que rompe con algunas normas y consejos que quizá pudieron tener sentido en el pasado pero hace tiempo han dejado de tenerlo. Esto es debido a la evolución de las tecnologías que actualmente se utilizan para atacar a los sistemas de identificación/autenticación, a la seguridad criptográfica de las contraseñas y a otros detalles. Por ejemplo:

  • Cambios periódicos de contraseña: innecesarios. Antiguamente se recomendaba «cambiar la contraseña de vez en cuando» pero se ha demostrado que esto da problemas a todos los niveles, tanto del propio usuario como para los responsables de informática, y que no compensa la supuesta mejora en seguridad que proporciona – incluso la empeora.
  • Las contraseñas «creativas» no son más seguras. Las famosas combinaciones de mayúsculas, minúsculas y signos especiales para crear contraseñas más «complejas» dan una falsa sensación de seguridad – pero de hecho ya no se consideran necesarias. Son mejores otros sistemas, como la autenticación de dos factores o la utilización de software para crear contraseñas fuertes desde el principio.
  • Limitaciones a la hora de usar contraseñas triviales o comprometidas. Esta es una recomendación para quienes gestionen un servicio de cuentas de cualquier tipo: evitar en el momento de su creación contraseñas del tipo 1234, 1111, admin, qwerty, el nombre del usuario, del servicio, etcétera. Incluyendo cualquier contraseña que se haya visto comprometida en el pasado.

Todo esto da una pista de que en cuestiones de seguridad informática el problema siguen siendo las personas, tanto por lo trivial e inseguro de sus decisiones como por los nuevos métodos que se utilizan para atacar las contraseñas que se usan cada día.

(Vía VentureBeat.)

Relacionado:

Compartir en Flipboard Publicar / Tuitear Publicar