Borrón y cuenta nueva. Hay que olvidar todo lo que se sabía hasta ahora sobre cómo tener una contraseña segura. Los consejos para tener un ‘password’ infalible, que consistían en combinar letras mayúsculas, minúsculas, números y caracteres especiales, “fueron un error”. Así lo desvela Bill Burr, el ‘gurú’ de estas recomendaciones hace 14 años.

Todo comienza en el año 2003. Bill Burr, miembro del National Institute of Standards and Technology (NIST) redactó un informe en el que recomendaba usar números, caracteres especiales y mayúsculas en las contraseñas. Además, afirmaba que lo mejor era actualizarlas de forma regular. Un informe titulado “NIST Special Publication 800-63. Appendix A” que desde muy pronto se convirtió en referencia para grandes empresas, gobiernos, universidades… hasta llegar a todos los usuarios.

Igual te interesa…

Password BBVA

Un cóctel de reglas comunes a seguir que no eran tan infalibles como siempre se nos ha hecho creer. En una entrevista publicada en ‘The Wall Street Journal’ Burr afirma que todo lo que pensaba en 2003 realmente no era del todo seguro. ¿Cuál es la razón? Sencilla: si se obliga al usuario a que utilice todos los elementos antes citados al final termina creando contraseñas inseguras.

Así lo afirma el propio Burr: “Me arrepiento de mucho de lo que hice y dije entonces. [Esas reglas] solo enloquecen a las personas y, sin importar lo que hagas o les pidas, continúan eligiendo malas contraseñas“.

Por tanto, utilizar claves del estilo ‘C0n7raseñ@$‘, cambiando la combinación por cualquiera que se desee, ya no es tan infalible como se pensaba. Parece que la ‘clave’ está en el factor humano. Y es que Burr reconoce que obligar a cambiar el ‘password’ cada tres meses no supone una medida eficaz ya que lo que el usuario realiza es pequeños cambios. Algo que lo que le hace ser igualmente vulnerable.

Es decir, si se tenía esto: ‘C0n7raseñ@$’, lo que normalmente se hace es añadirle algo así: ‘C0n7raseñ@$1’ o ‘C0n7raseñ@$2’, y así sucesivamente. Todo el mundo lo ha hecho alguna vez, nadie queda fuera de esta dinámica. Por último, el remate supone que se suele elegir términos muy cercanos a la persona. Conceptos poco seguros, en opinión de Burr.

Para ilustrarlo mejor, este experto señala que una contraseña como ‘Troub4dor&3’ sería descifrada por un ‘hacker’ en tres días; mientras que una como correcthorsebatterystaple (unión de cuatro palabras) le llevaría 550 años.

Igual te interesa…

Biometría, recurso biometría, biometria

¿Simplemente obsoleto?

Una opinión dura y crítica que ha encontrado respuesta entre sus colegas. Caso de Paul Grassi, consejero del NIST, quien también declara al Wall Street Journal que Bill Burr redactó un buen documento de seguridad que ha servido para una época de entre 10 y 15 años. El único problema que tiene, en su opinión, es que se ha quedado obsoleto.

Nuevas recomendaciones a tener en cuenta

Algo que va en la línea de la nueva publicación del NIST. Un reciente informe actualizado a estos tiempos en el que desaconseja la mezcla de caracteres especiales y la obligación de actualizar las contraseñas cada 90 días. Es decir, rompe de lleno con las dos normas que pasado el tiempo han tenido un efecto más negativo que positivo.

En vez de eso, ahora la recomendación principal es emplear como contraseñas frases que resulten sencillas de recordar por el usuario. Sin tener por qué actualizarlas a menos que se detecte algún movimiento extraño que indique que haya podido ser descubierta.

En resumen, ‘nopierdaseltiempoypiensatunuevacontraseña’.

Comunicación corporativa