En los últimos años, cualquier usuario de servicios de Internet y aplicaciones ha podido observar cambios en la lógica del manejo de contraseñas a la que estaban acostumbrados. ¿Con que frecuencia pide Google o Facebook que cámbienos las contraseñas?
Esta nueva tendencia a no cambiar las contraseñas no implica debilitar la seguridad de los sitios, que por el contrario incorporan muchas otras herramientas y medidas adicionales para mejorar la seguridad nos brindan. Claramente luego de investigaciones a lo largo de los años, se ha llegado a la conclusión de que la relación entre usabilidad y seguridad no siempre ha sido bien gestionada, produciendo un resultado negativo en la medida que el comportamiento de las personas se vuelve predecible, y por ende sus contraseñas débiles.
Hoy está demostrado que el principal aspecto que define la fortaleza de una contraseña es su longitud, y que por el contrario las políticas de complejidad han llevado a resultados negativos. Sin embargo, muchas empresas mantienen políticas de contraseñas obsoletas, que no están alineadas con las últimas recomendaciones, y que no incorporan medidas adicionales de seguridad para los accesos remotos o usuarios privilegiados.
¿Cuál es la seguridad que puede lograrse cuando una contraseña debe cambiarse de forma mensual, tener caracteres especiales, no ser igual a las 30 anteriores, etc.? Lo único que se consiguen son contraseñas débiles, predecibles, inseguras, que siguen patrones de conducta y que en muchos casos son anotadas en los lugares menos seguros.
El NIST, Instituto de Estándares y Tecnológica de Estados Unidos, ha publicado una nueva versión del estándar. NIST Special Publication 800-63B, Digital Identity Guidelines Authentication and Lifecycle Management, https://pages.nist.gov/800-63-3/sp800-63a.html, en la cual se establecen nuevas guías y recomendaciones; y En abril 2021 Microsoft emitió varias recomendaciones de directiva de contraseñas, https://docs.microsoft.com/es-es/microsoft-365/admin/misc/password-polic....
El Centro Nacional de Ciberseguridad del Reino Unido emitió recomendaciones en el mismo sentido, apuntando a simplificar el enfoque en las políticas de contraseñas: https://www.ncsc.gov.uk/guidance/password-guidance-simplifying-your-appr...
Estas guías y recomendaciones son las utilizadas por los principales proveedores de servicios de internet a nivel mundial, pero gran parte de las organizaciones no ha tomado nota de las mismas para sus políticas internas, y la exigida a sus clientes.
Algunas de las principales recomendaciones para las organizaciones según los estándares internacionales son:
- Simplificar el enfoque respecto de las contraseñas, incorporando otras soluciones tecnológicas al proceso de autenticación.
- Solicitar el cambio de las contraseñas solo en casos de ataques o sospechas.
- Prohibir el uso de contraseñas comunes o predecibles.
- Permitir que los usuarios registren y almacenen de forma segura sus contraseñas en herramientas adecuadas.
- Permitir que los usuarios cambien fácilmente sus contraseñas.
- Promover a que los usuarios no utilicen la misma contraseña en diferentes sitios y sistemas.
- Concentrar los requisitos de complejidad en el largo de la contraseña, no su composición.
- Establecer requisitos especiales para las cuentas con privilegios especiales y los accesos remotos.
- Almacenar las contraseñas de forma segura.
- Monitorear el acceso y promover el reporte de eventos por parte de los usuarios.
Consideramos que sería bueno revisar la política de contraseñas, por lo que recomendamos leer las fuentes mencionadas en el artículo.
