Cuando el ingeniero Bill Burr del Instituto Nacional de Estándares y Tecnología de EE. UU. (NIST) escribió en 2003 lo que pronto se convertiría en el estándar de oro para la seguridad de contraseñas, aconsejó a personas y organizaciones que protegieran sus cuentas inventando largas y 'caóticas' líneas de caracteres, números y signos, y que las cambiaran periódicamente.

Catorce años después, Burr admitió que se arrepintió de su consejo anterior. "Simplemente vuelve loca a la gente y no eligen buenas contraseñas sin importar lo que hagas", dijo. dijo el Wall Street Journal.

O, como el famoso xkcd comic lo ha puesto: “A través de 20 años de esfuerzo, hemos capacitado con éxito a todos para que usen contraseñas que son difíciles de recordar para los humanos, pero fáciles de adivinar para las computadoras”.

En estos días, una persona promedio tiene hasta 100 contraseñas para recordar, con el número creciendo a un ritmo rápido en los últimos años (aunque, de hecho, algunas personas utilizado alrededor de 50 contraseñas, incluidos varios códigos fuera de línea, incluso hace años y algunos expertos en seguridad han señalado que tales hábitos y políticas de contraseñas son insostenibles).

De hecho, los estudios han encontrado que las personas típicamente recuerdan solo hasta cinco contraseñas y toma atajos creando contraseñas fáciles de adivinar y luego reciclarlos a través de varias cuentas en línea. Algunos en realidad pueden sustituir números y caracteres especiales por letras (p. ej., "contraseña" se convierte en "P4??WØrd"), pero esto sigue siendo una contraseña que es fácil de descifrar.

En los últimos años, organizaciones líderes como The Open Web Application Security Project (OWASP) y, por supuesto, el propio NIST han cambiaron sus políticas y consejos hacia un enfoque más fácil de usar, al tiempo que aumenta la seguridad de las contraseñas.

Al mismo tiempo, los gigantes tecnológicos como Microsoft y Google están alentando a todos a deshacerse de las contraseñas por completo y ir sin contraseña en cambio. Sin embargo, si su pequeña o mediana empresa aún no está lista para deshacerse de las contraseñas, aquí hay una guía que lo ayudará a usted y a sus empleados en 2023.

Deje de imponer reglas de composición de contraseñas innecesariamente complejas

Las reglas de composición extremadamente complejas (como exigir a los usuarios que incluyan caracteres en mayúsculas y minúsculas, al menos un número y un carácter especial) ya no son obligatorias. Esto se debe a que tales reglas rara vez alientan a los usuarios a establecer contraseñas más seguras, sino que los impulsan a actuar de manera predecible y generar contraseñas que son un "doble golpe": son débiles y difíciles de recordar.

Cambiar a frases de contraseña

En lugar de contraseñas más cortas pero difíciles, ir por frases de contraseña. Son más largas y más complejas, pero aún así son fáciles de recordar. Por ejemplo, puede ser una oración completa que se te quedó grabada en la cabeza por alguna razón, salpicada de mayúsculas, caracteres especiales y emojis. Si bien no es súper complejo, las herramientas automatizadas tardarán años en descifrarlo.

Hace unos años, la longitud mínima para una buena contraseña era de ocho caracteres, que consistían en mayúsculas y minúsculas, signos y números. Hoy en día, las herramientas automatizadas para descifrar contraseñas pueden adivinar dicha contraseña en minutos, especialmente si está protegida con la función de hash MD5.

Esto es de acuerdo a pruebas realizadas por Hive Systems y publicado en abril de 2023. Por el contrario, una contraseña simple que contiene solo caracteres en minúsculas y mayúsculas, pero tiene 18 caracteres, lleva mucho, mucho más tiempo de descifrar.

Fuente: Sistemas de colmena

Apunta a una longitud mínima de 12 caracteres, ¡cuantos más, mejor!

Las pautas del NIST reconocen la longitud como el factor clave en la seguridad de la contraseña e introducen una longitud mínima requerida de 12 caracteres que alcanza un máximo de 64 caracteres después de combinar varios espacios. En igualdad de condiciones, cuanto más, mejor.

Habilitar una variedad de personajes

Cuando establecen sus contraseñas, los usuarios deben tener la libertad de elegir entre todos los caracteres ASCII y UNICODE imprimibles, incluidos los emojis. También deberían tener la opción de usar espacios, que son una parte natural de las frases de contraseña, una alternativa muy recomendada a las contraseñas tradicionales.



Tome medidas drásticas contra la reutilización de contraseñas

Es sabiduría convencional por ahora que la gente no debería reutilizar sus contraseñas a través de diferentes cuentas en línea, porque una violación de una cuenta puede conducir fácilmente al compromiso de otras cuentas.

Sin embargo, muchos hábitos tardan en desaparecer, y alrededor de la mitad de los encuestados en un estudio del Instituto Ponemon de 2019 admitió haber reutilizado un promedio de cinco contraseñas en sus cuentas comerciales y/o personales.

No establezca una fecha de caducidad para las contraseñas

El NIST también recomienda no solicitar cambios regulares de contraseña a menos que lo solicite el usuario o a menos que haya evidencia de un compromiso. La razón es que los usuarios solo tienen cierta paciencia para tener que pensar constantemente en nuevas contraseñas razonablemente seguras. Como resultado, hacer que lo hagan a intervalos regulares puede hacer más daño que bien.

Cuando Microsoft anunció la eliminación de las políticas de caducidad de contraseñas hace tres años, cuestionó toda la idea de la caducidad de contraseñas.

“Si se da por sentado que es probable que le roben una contraseña, ¿cuántos días es un período de tiempo aceptable para continuar permitiendo que el ladrón use esa contraseña robada? El valor predeterminado de Windows es de 42 días. ¿No parece un tiempo ridículamente largo? Bueno, lo es y, sin embargo, nuestra línea de base actual dice 60 días, y solía decir 90 días, porque forzar el vencimiento frecuente presenta sus propios problemas ". lee el blog de Microsoft.

Tenga en cuenta que esto es solo un consejo general. Si está asegurando una aplicación que es crucial para su negocio y atractiva para los atacantes, aún puede obligar a sus empleados a cambiar las contraseñas periódicamente.

Deshazte de las sugerencias y la autenticación basada en el conocimiento

Las sugerencias de contraseña y las preguntas de verificación basadas en el conocimiento también están obsoletas. Si bien estos pueden ayudar a los usuarios en su búsqueda de contraseñas olvidadas, también pueden ser de gran valor para los atacantes. Nuestro colega Jake Moore ha demostrado en varias ocasiones cómo los hackers pueden abusar de la página de "contraseña olvidada" para entrar en las cuentas de otras personas, por ejemplo en PayPal y Instagram.

Por ejemplo, una pregunta como “el nombre de su primera mascota” se puede adivinar fácilmente con un poco de investigación o ingeniería social y, en realidad, no hay un sinfín de posibilidades por las que tiene que pasar una herramienta automatizada.

Lista negra de contraseñas comunes

En lugar de confiar en las reglas de composición utilizadas anteriormente, verifique las nuevas contraseñas en una "lista negra" de las más comúnmente utilizado y/o contraseñas previamente comprometidas y evaluar los intentos de coincidencia como inaceptables.

En 2019, microsoft escaneado las cuentas de sus usuarios comparan los nombres de usuario y las contraseñas con una base de datos de más de tres mil millones de conjuntos de credenciales filtradas. Encontró 44 millones de usuarios con contraseñas comprometidas y forzó un restablecimiento de contraseña.

Proporcionar soporte para herramientas y administradores de contraseñas.

Asegúrese de que la funcionalidad de "copiar y pegar", las herramientas de contraseñas del navegador y los administradores de contraseñas externos puedan manejar la molestia de crear y proteger las contraseñas de los usuarios.

Los usuarios también deben optar por ver temporalmente la contraseña enmascarada completa o el último carácter escrito de la contraseña. Según las directrices OWASP, la idea es mejorar la usabilidad de la entrada de credenciales, particularmente en torno al uso de contraseñas más largas, frases de contraseña y administradores de contraseñas.

Establecer una vida útil corta para las contraseñas iniciales

Cuando su nuevo empleado establece una cuenta, la contraseña inicial generada por el sistema o el código de activación deben generarse aleatoriamente de forma segura, deben tener al menos seis caracteres y pueden contener letras y números.

Asegúrese de que caduque después de un corto período de tiempo y no pueda convertirse en la contraseña verdadera y de largo plazo.

Notificar a los usuarios sobre los cambios de contraseña

Cuando los usuarios cambian sus contraseñas, se les debe pedir que primero ingresen su contraseña anterior e, idealmente, habiliten la autenticación de dos factores (2FA). Una vez hecho esto, deberían recibir una notificación.

Tenga cuidado con su proceso de recuperación de contraseña

El proceso de recuperación no solo no debe revelar la contraseña actual, sino que lo mismo se aplica a la información sobre si la cuenta realmente existe o no. En otras palabras, ¡no proporcione a los atacantes ninguna información (innecesaria)!

Usa CAPTCHA y otros controles anti-automatización

Utilice controles antiautomatización para mitigar los ataques de prueba de credenciales violadas, fuerza bruta y bloqueo de cuentas. Dichos controles incluyen el bloqueo de las contraseñas violadas más comunes, bloqueos suaves, limitación de velocidad, CAPTCHA, retrasos cada vez mayores entre intentos, restricciones de direcciones IP o restricciones basadas en riesgos, como ubicación, primer inicio de sesión en un dispositivo, intentos recientes de desbloquear la cuenta. , o similar.

De acuerdo con los estándares actuales de OWASP, debe haber como máximo 100 intentos fallidos por hora en una sola cuenta.

no confíes , solamente en contraseñas

Independientemente de cuán fuerte y única sea una contraseña, sigue siendo una única barrera que separa a un atacante de sus datos valiosos. Al apuntar a cuentas seguras, se debe considerar una capa de autenticación adicional como una necesidad absoluta.

Es por eso que debe usar autenticación de dos factores (2FA) o multifactor (MFA) siempre que sea posible.

Sin embargo, no todas las opciones de 2FA nacen iguales. Los mensajes SMS, aunque son mucho mejores que no usar 2FA, son susceptibles a numerosas amenazas. Las alternativas más seguras implican el uso de dispositivos de hardware dedicados y generadores de contraseñas de un solo uso (OTP) basados ​​en software, como aplicaciones seguras instaladas en dispositivos móviles.

Nota: Este artículo es una versión actualizada y ampliada de este artículo que publicamos en 2017: No más requisitos de contraseña sin sentido

Quizás echa un vistazo Generador de contraseñas de ESET?

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• PlatoAiStream. Inteligencia de datos Web3. Conocimiento amplificado. Accede Aquí.
• Acuñando el futuro con Adryenn Ashley. Accede Aquí.
• Compra y Vende Acciones en Empresas PRE-IPO con PREIPO®. Accede Aquí.
• Fuente: https://www.welivesecurity.com/2023/05/04/creating-strong-user-friendly-passwords-tips-business-password-policy/