A pesar de que las contraseñas no son actualmente el mecanismo de autenticación más recomendado, muchos sistemas todavía dependen de ellas y probablemente lo seguirán haciendo por algún tiempo.
En este contexto, el Instituto Nacional de Estándares y Tecnología de Estados Unidos (National Institute for Standards and Technology, NIST) está elaborando una guía llamada Digital Authentication Guideline (Lineamientos de Autenticación Digital), que contiene políticas en relación con el uso de contraseñas. Esta guía se encuentra sujeta a revisión pública la versión final será adoptada por el Gobierno de los Estados Unidos. A través de la Publicación Especial del NIST 800-63-3 (SP 800-63-3), se proponen cambios a las políticas recomendadas de contraseñas, algunos de los cuáles van en dirección contraria a las prácticas tradicionalmente más difundidas hasta el momento en esta materia. Es interesante analizar qué propone el NIST en la referida guía, cuáles son los cambios importantes respecto a prácticas usuales y qué de esto podrían utilizar las empresas.
Hacer las políticas de contraseñas más amigables para el usuario
Una de las conclusiones a las que llega el análisis desarrollado en la Guía NIST es que obligar a los usuarios a utilizar contraseñas complejas no es tan efectivo como se pensaba. En este sentido, para evitar que se utilicen contraseñas demasiado sencillas, muchos sistemas obligan al usuario a utilizar contraseñas que requieran por ejemplo números, mayúsculas y símbolos. No obstante, investigaciones relacionadas con seguridad han puesto de manifiesto que el beneficio de implementar este tipo de reglas no tiene la importancia que se creía, pero sin embargo el impacto negativo en cuanto a usabilidad y facilidad de memorización sí es muy significativo. Según el estudio, el largo de la contraseña ha probado ser el principal factor que caracteriza la fortaleza de la misma.
Recomendaciones para el establecimiento y uso de contraseñas.
La publicación de NIST establece ciertos aspectos deseables en cuanto al establecimiento y uso de contraseñas, algunos de los cuales mencionamos a continuación:
– Los PINS deberían tener al menos 6 dígitos y las contraseñas 8.
– Los Sistemas deberían impedir que los usuarios establezcan contraseñas que figuran en “listas negras” o listas de contraseñas que típicamente han sido comprometidas (por ejemplo 123456, QWERTY, etc.).
– No deberían establecerse otros requerimientos de complejidad adicionales para las contraseñas que fijen los usuarios, por lo comentado antes acerca de la efectividad real del uso de contraseñas complejas. ¿Nuevas reglas para el establecimiento y uso de contraseñas? ECOVIS info. Issue 101/ 07 de marzo /2017 3
– Los sistemas debería permitir a los usuarios el uso de contraseñas de 64 caracteres o más, para habilitar y fomentar el uso de frases de contraseña.
– Los sistemas deberían permitir todos los Caracteres ASCII [RFC 20] y Unicode [ISO/ISC 10646:2014]. – Los sistemas no deberían pedir a los usuarios “pistas” para recordar las contraseñas (por ejemplo, “cuál es el nombre de su primer mascota”).
– Los sistemas no deberían solicitar a los usuarios que modifiquen periódicamente sus contraseñas en forma arbitraria, salvo que exista evidencia de que esas contraseñas han sido violadas.
– Cuando se recibe una solicitud de modificar una contraseña por parte de un usuario, el sistema debería verificar que la nueva contraseña no se encuentre en una “lista negra” de contraseñas comprometidas, que no sea una palabra del diccionario, que no sean caracteres repetitivos o secuenciales (por ejemplo: aaaaaaa, 123456), que no se trate de palabras significativas en el contexto (por ejemplo, nombre del usuario, contraseña anterior, etc.).
– La norma también establece determinadas recomendaciones en cuanto a la seguridad en que los sistemas almacenan las contraseñas.
Comentarios finales
La SP 800-63-3 del NIST muestra que el uso de controles debe adaptarse continuamente a la realidad y a los cambios permanentes que se producen en el mundo de la Tecnología de la Información, particularmente las técnicas de ataque y la capacidad de los Sistemas Computacionales. Por ello el objetivo de esta guía es mejorar la forma en la que los usuarios crean y utilizan las contraseñas y la forma en que los sistemas las almacenan, reduciendo al mínimo la complejidad cuando es posible. Las empresas deberán analizar cuáles de estas recomendaciones pueden aplicar a su contexto particular, cuáles de ellas son fácilmente adaptables y cuáles pueden tener un costo importante. Por ejemplo, la recomendación de no obligar a los usuarios a cambiar la contraseña en forma periódica implicará que la empresa tenga algún mecanismo alternativo de monitoreo para verificar que una base de datos con contraseñas no ha sido vulnerada.