Contraseñas complejas: ¿una cosa del pasado?
Algunas de las reglas habituales para la creación de contraseñas están en entredicho. Sin embargo, deben seguir siendo indescifrables para ser eficaces.
Algunas de las habituales reglas de oro que usamos para generar nuestras contraseñas están ahora en entredicho. Fueron creadas en 2003 por el Instituto de Tecnología y Estándares norteamericano (NIST) pero su creador, el investigador Bill Burr, desmintió recientemente su verdadera utilidad.
Hasta ahora, las passwords han sido fuente de frustraciones. Para particulares concienciados del papel que juegan cuando hablamos de ciberseguridad, pero sobre todo para muchas empresas que obligan a sus empleados a cambiarlas con regularidad y crear nuevas claves en función de patrones complejos. Así, si nos ceñimos al estándar, una contraseña debe alcanzar una determinada longitud, combinar caracteres alfanúmericos, símbolos, mayúsculas y minúsculas. El objetivo final de este patrón era evitar que la gente usara contraseñas fácilmente predecibles para los cibercriminales. Estas reglas bien intencionadas han dado lugar también a contraseñas como «P@$$w0rd» que, a las pocas semanas son reemplazadas por «P@$$w0rd2», después por «P@$$w0rd3» y así sucesivamente. Si bien cumplen con todos los requisitos, desde el punto de vista de un atacante, sin embargo, son muy fáciles de romper usando un software especializado. Las últimas recomendaciones del NIST para la creación de claves robustas apuestan por frases largas que se puedan memorizar. Tratan de hacer de las contraseñas imposibles de memorizar una cosa del pasado.
Qué hacemos entonces?
Aquellos que están acostumbrados y se sienten cómodos con las „tradicionales“ contraseñas complejas pueden mantener sus patrones de creación de passwords sin necesidad de modificar sus hábitos al respecto, pero ya no será necesario cambiarlas regularmente si no hay motivo evidente para ello. Para todos los demás, las opciones se multiplican. «Si lo desea, puede usar frases completas, incluyendo espacios en blanco y caracteres especiales. Pero aunque las tradicionales reglas estén en entredicho, la contraseña debe seguir siendo difícil de adivinar y, si apostamos por una frase, es conveniente que sea larga. La longitud sigue siendo uno de los factores que definen la fortaleza de una contraseña y dicha longitud no debeser nunca inferior a ocho caracteres. Sin embargo, la mejor garantía es apostar por el doble factor», afirma Tim Berghoff, experto en ciberseguridad de G DATA. Los cumpleaños, las desafortunadamente célebres «123456», «password», «abcdef» o «qwertyuiop» siguen siendo un mala opción como contraseña. La regla de no volver a usar la misma clave para múltiples propósitos (por ejemplo, correo electrónico, plataformas sociales, tiendas online…) sigue en vigor. En consecuencia, cada servicio debe tener su propia contraseña y, si es posible, activar un segundo método de autenticación. Ante la avalancha de servicios que exigen una contraseña, un administrador de contraseñas sigue siendo una herramienta muy útil.
G DATA: Cuatro recomendaciones a llevar a cabo cuando hablamos de contraseñas
- Frase con sentido o combinación aleatoria, pero que sea suficientemente larga
- Usa la autenticación de doble factor siempre que sea posible
- Usa una contraseña por servicio
- Usa un adminsitrador de contraseñas, se encarga de elaborara contraseñas robustas, con la extensión deseada, y recordarlas cuando es necesario.