Cuando recientemente el autor del artículo descubrió un borrador de nuevas directrices para el manejo de contraseñas del NIST (National Institute of Standards and Technology = Instituto Nacional de Estándares y Tecnología) de los Estados Unidos de América, le sorprendió el número de cambios muy progresivos que propusieron.

Aunque las reglas del NIST no son obligatorias para las organizaciones no gubernamentales, suelen tener una gran influencia, ya que muchos profesionales de seguridad corporativa las utilizan como estándares básicos y mejores prácticas al formular políticas para sus empresas. Por lo tanto, otro hecho que le sorprendió fue la falta de atención a este documento, finalizado el 31 de marzo, tanto de los medios oficiales como de la blogosfera. Después de todo, se supone que esos cambios afectan literalmente a todos los que navegan por Internet.

Aquí está una mirada rápida a los tres cambios principales que el NIST ha propuesto:

No más cambios periódicos de contraseña. Este es un enorme cambio de política ya que elimina una carga significativa a los usuarios y departamentos de IT. Ha sido claro por mucho tiempo que los cambios periódicos no mejoran la seguridad de la contraseña, porque sólo empeoran, y ahora la investigación del NIST finalmente ha proporcionado la prueba.

No más complejidad de contraseña impuesta (como requerir una combinación de letras, números y caracteres especiales). Esto significa que los usuarios ahora pueden ser menos “creativos” y evitar contraseñas como “Password1 $”, que sólo proporcionan una falsa sensación de seguridad.

Validación obligatoria de contraseñas recién creadas contra una lista de contraseñas comúnmente utilizadas, esperadas o comprometidas. Los usuarios no podrán establecer contraseñas como “contraseña”, “12345678”, etc. que los hackers pueden adivinar fácilmente.

Entonces, ¿por qué no se ha visto ninguna cobertura en los medios de los cambios teniendo en cuenta que es parte de un aviso previo – y considerando que cada usuario promedio va a verse afectado? El autor cree que hay varias razones severas para el silencio de la radio y los medios.

En primer lugar, muchas personas ahora, sufren de fatiga de contraseña. Los usuarios están cansados y decepcionados con las reglas de contraseña. Se ven obligados a seguir todas estas pautas complejas, recordar y cambiar periódicamente docenas o cientos de contraseñas diferentes, y aun así escuchamos sobre un enorme número de violaciones de seguridad causadas por contraseñas comprometidas. Los usuarios, especialmente los menos sofisticados, parecen haberse reconciliado con esta situación y percibirla como algo natural, por lo que nadie cree que pueda mejorarse.

En segundo lugar, han visto una amplia introducción de MFA (multi factor de autenticación), también conocido como dos factores de autenticación, que supuestamente empuja el problema de contraseña a los antecedentes. Permítanme recordarles que, a diferencia de la autenticación tradicional por contraseña (“algo que saben”), MFA requiere un segundo factor como “algo que tiene” (hardware token, teléfono móvil) o “algo que es de usted” (generalmente biométrico como huella digital o reconocimiento facial). De hecho, si una cuenta del autor está protegida por un segundo factor fiable, como un código de una sola vez enviado por texto a su teléfono inteligente o generado a petición de su Yubikey, ¿por qué debería preocuparse más por las contraseñas? Sólo puede usar la misma contraseña que recuerda en cada cuenta que está protegida por MFA. Desafortunadamente, esta suposición es sólo parcialmente verdadera porque la MFA es confiable solamente cuando ambos factores son seguros.

Por último, los usuarios más diligentes en estos días tienen acceso a una gran variedad de software de gestión de contraseñas, tanto comerciales como gratuitos, que pueden mejorar significativamente la experiencia y la seguridad del usuario. El autor del artículo dice que con el software de gestión de contraseñas, sólo necesito recordar una contraseña que desbloquea su “bóveda de contraseñas” personal, por lo que no tiene que preocuparme por todas las reglas de complejidad o cambios frecuentes de contraseñas; Su administrador de contraseñas generará, almacenará e ingresará una contraseña aleatoria segura cada vez que necesite una. Sin embargo, todavía hay escenarios en los que no podemos usar el gestor de contraseñas (por ejemplo, desbloquear nuestro teléfono, computadora o puerta).

¿Así que estos cambios que el NIST propone siguen siendo relevantes e importantes? Por supuesto que lo son. A pesar de los intentos desesperados de muchas empresas de seguridad para introducir nuevos métodos de autenticación, las contraseñas están aquí para permanecer por un tiempo, si no para siempre, y millones de personas en todo el mundo apreciarán incluso pequeñas mejoras en la experiencia y seguridad del usuario.

Fuente: venturebeat